Y el malware llegó a Mac

Hubo un tiempo en que el sistema operativo que corre entre los circuitos de los ordenadores de Apple gozaba de cierta aura de infranqueabilidad. “Mac es invulnerable a los virus”, “Mac es más seguro que Windows” o “Mac es más seguro que… cualquier otra plataforma” son frases que se han repetido hasta la saciedad. Hasta el punto de llegar a aferrarse a la conciencia colectiva como verdades absolutas. Hasta que llegó Leap-A, también conocido como OompaA. Hace ahora seis años los expertos de SophosLabs descubrían el primer malware para la plataforma Mac OS X, capaz de propagarse a través del programa de mensajería instantánea iChat en forma de imagen JPG y enganchar automáticamente a todos los contactos de la agenda del dispositivo afectado.

Luego aparecieron Macarena, OSX.RSPlug.A, Boonana, HellRaiser, BlackHole, IncognitoRAT, nVIR, DNSChan, RSPlug, MacSweeper, Lamzev, Krowi, Jahlav, HellRTS, OpinionSpy, Munimin y Koobface. Aunque quizás ninguno había causado tanto revuelo como lo ha hecho Flashback durante los últimos días. ¿Qué es Flashback? Un troyano que utiliza la piel de un instalador de Adobe Flash Player como disfraz y que ha sabido renovarse en diversas ocasiones desde su detección en septiembre del año pasado. De entrada, intenta instalarse por sí solo aprovechando una vulnerabilidad Java y el respaldo de sitios web comprometidos. Si no encuentra obstáculos, sustraerá información personal sin intervenciones adicionales. Pero si el equipo está actualizado con los parches correspondientes, se las ingenia para engañar a la víctima con trucos de ingeniería social.

Y ahí está la clave. Más allá de la extensa colección de categorías de malware que han podido colarse en Mac (troyanos de acceso remoto y cambiadores de DNS, gusanos y puertas traseras, spyware y scareware, phishing y falsos antivirus), uno de los factores más importantes a la hora de la infección es conseguir manipular al usuario para que sea él quien acepte la instalación sin saberlo. O, lo que es lo mismo, el principal riesgo en seguridad informática son las decisiones que toman los dueños de los dispositivos y el mejor antivirus es el sentido común.

A finales de abril Symantec y Kaspersky aseguraban que las unidades de Mac alcanzadas por Flashback se habían reducido a tan “sólo” 140.000, comparadas con las cerca de 600.000 que habían detectado Dr.Web y F-Secure. El anuncio fue corregido en menos de 24 horas para cerciorar que en realidad la actividad se mantenía por encima del medio millón, registrándose un pico de más de 670.000 infecciones activas. Aunque la cuestión no está clara y el baile de cifras continúa. Por ejemplo, esta misma semana Intego ha publicado sus resultados donde se muestran 114.000 casos sin resolver, al tiempo que se ha reportado la existencia de una nueva mutación: Flashback.S, que no requiere de contraseña del administrador y elimina archivos de la carpeta del caché para ocultar su rastro. Se calcula que sus creadores han recaudado ingresos diarios por valor de 10.000 dólares.

Otros malware que a día de hoy causan quebraderos de cabeza a los maqueros están relacionados con Microsoft Office. Un agujero adicional en Java permite a al menos dos variantes conocidas del APT tipo Luckycat SupPub introducirse en los ordenadores vía documentos maliciosos de Word. Una vez dentro, se conectan a un servidor de control y ejecutan toda clase de órdenes, desde realizar capturas de pantalla hasta cargar y descargar archivos al antojo de los hackers o monitorizar movimientos. Mientras que un tercer backdoor se aprovecha de un fallo presente en Office 2004 y 2008 que, a pesar de haber sido parcheado en verano de 2009 gracias al boletín MS09-027, sigue sin ser abordado en muchos equipos particulares y empresariales gobernados por “Snow Leopard” o ediciones anteriores. En este caso se procede a un desbordamiento de búfer que permite al atacante corromper una variable local y utilizarla para implementar código “shell”, que luego el malware usará para convertir el equipo en esclavo de una botnet.

Por si fuera poco, un inagotable Mac Defender sigue dando coletazos y manifestándose como pop-up que atemoriza a los más incautos sobre una supuesta infección del sistema para después recomendar la instalación de un (falso) antivirus. Y recientemente se ha alertado de otra amenaza que se vale del mismo exploit que Flashback para descargar un script en Python que, una vez dentro de la computadora seleccionada, desencadena una serie de comandos, roba archivos y ejecuta acciones sin el el conocimiento del usuario. A medida que aumenta la popularidad de la plataforma, se incrementa también su valor para los ciberdelicuentes.

¿Cómo frenar los ataques?

Pero esto no quiere decir que los usuarios estén desamparados. Junto a los métodos de borrado tradicionales y las herramientas de las compañías que se dedican al negocio de la seguridad, la propia Apple se ha preocupado de lanzar actualizaciones destinadas a limpiar las distintas amenazas detectadas. Además de erradicar el malware, estas updates también desactivan la ejecución automática de los applets del plug-in Java en Safari y obliga a ponerlos en marcha manualmente si así se desea. Es por eso que se recomienda encarecidamente instalar siempre las últimas versiones de los programas utilizados y los parches de seguridad del sistema, así como utilizar software antivirus. ¿Más consejos prácticos? Conseguir las aplicaciones de fuentes fidedignas, rechazar la instalación de componentes que aparezcan por sorpresa, bloquear la apertura automática de archivos descargados, no abrir correos sospechosos ni cualquier enlace enviado por Internet y recelar de las páginas que soliciten información sensible, como el número de las tarjetas de crédito.