En los últimos tres años, uno de los vectores más populares de malware y otros tipos de código malicioso viene siendo el humilde archivo adjunto a un correo electrónico.
En particular, los archivos adjuntos codificados en el Lenguaje de marcado de hipertexto, o HTML, se convirtieron en una forma cada vez más popular de llevar a cabo una serie de delitos cibernéticos diferentes (y cada vez más sofisticados), como el fraude de identidad a través de troyanos de acceso remoto (RAT), ataques de ransomware y estafas de phishing.
Resulta preocupante que no se trate de un incidente aislado o de algún tipo de ataque masivo de un solo atacante; desde 2023, los archivos adjuntos HTML maliciosos parecen ser la opción preferida de muchos piratas informáticos independientes de todo el mundo.
Aunque esta técnica, a veces denominada "Contrabando de HTML" en casos más sofisticados en los que la carga maliciosa se encuentra en el mismo archivo adjunto HTML, se conoce desde hace tiempo y la han utilizado distintos ciberdelincuentes a lo largo de los años, adquirió notoriedad a través de una campaña de spear phishing del conocido atacante NOBELIUM.
En los últimos años, esta técnica se ha utilizado para distribuir una serie de malware importantes, como Mekotio (el infame troyano bancario), Trickbot y AsyncRAT/NJRAT.
Ante el aumento de este tipo de delitos cibernéticos y el hecho de que uno de cada tres hogares estadounidenses esté infectado con algún tipo de malware, es importante comprender cómo funcionan los ataques de archivos adjuntos HTML maliciosos (y de contrabando de HTML) y cómo protegerse contra ellos.
Por eso creamos esta guía sobre archivos adjuntos HTML y contrabando de HTML, para que puedas estar tranquilo desde cualquier lugar en el que quieras acceder a tus correos electrónicos.
¿Qué son los archivos adjuntos HTML maliciosos?
Los archivos adjuntos HTML maliciosos son un tipo de malware que suele encontrarse en los correos electrónicos en forma de archivos adjuntos. Se activan, principalmente, cuando el usuario hace clic en el archivo HTML adjunto infectado.
Una vez que lo abre, el usuario es redirigido a través de bibliotecas JavaScript alojadas externamente al sitio web de phishing del pirata informático (u otra forma de contenido malicioso que controle el atacante, como una página de inicio de sesión).
Las formas más conocidas de este tipo de estafa de phishing HTML suelen parecerse a una ventana emergente de Microsoft. La ventana pedirá al usuario algún tipo de credencial personal o datos de acceso que le permitirán descargar el archivo HTML adjunto recibido en el correo electrónico del pirata informático.
Una vez que el usuario ingresa sus datos, se envían al pirata informático, quien los aprovechará para cometer delitos, como por ejemplo, el robo de dinero, de identidad y la extorsión mediante ransomware.
¿Qué es el contrabando de HTML?
El contrabando de HTML, una forma más técnica de ataque de malware mediante archivos adjuntos HTML maliciosos, utiliza HTML 5 y JavaScript para permitir que un ciberdelincuente ingrese de "contrabando" código malicioso en la computadora de la víctima a través de una secuencia de comandos diseñada de forma exclusiva, que está incrustada en el mismo archivo adjunto HTML.
Cuando la víctima del ataque abre los archivos adjuntos HTML maliciosos en su navegador web, este decodifica el script incrustado, que ensambla la carga útil en el dispositivo informático de la víctima. Esto le permite al pirata informático construir el malware localmente detrás del firewall de la víctima.
Este tipo de ataque se aprovecha del hecho de que tanto HTML como JavaScript son algunas de las partes más habituales e importantes en el uso diario de la informática (tanto en el ámbito empresarial como personal).
Como resultado, esta técnica puede eludir el software estándar de control de seguridad (como los proxies web y las puertas de enlace de correo electrónico) que solo comprueban las firmas basadas en el tráfico o los tipos de archivos adjuntos convencionalmente sospechosos, como .EXE, .ZIP o .DOCX.
Como los archivos maliciosos se crean después de cargar el archivo a través del navegador en la máquina de la víctima, las soluciones de seguridad estándar solo registrarán el tráfico HTML y JavaScript benigno. Además, las técnicas más avanzadas de los ciberdelincuentes, como la "ofuscación", permiten a los piratas informáticos ocultar eficazmente sus scripts maliciosos de los programas de seguridad más avanzados.
El contrabando de HTML funciona al aprovechar el atributo "download" de las etiquetas de anclaje y el uso de Blobs de JavaScript para ensamblar la carga útil en el dispositivo de la víctima. Una vez pulsado el atributo "download", permite que un archivo HTML descargue automáticamente un archivo malicioso al que se hace referencia en la etiqueta "href ".
Con el uso de JavaScript, se lleva a cabo un proceso similar: los Blobs de JavaScript almacenan los datos codificados del archivo malicioso, que luego se descodifican cuando se pasan a una API de JavaScript que espera una URL. Esto significa que el archivo malicioso se descarga automáticamente y se construye localmente en el dispositivo de la víctima mediante códigos JavaScript.
Otros tipos de archivos adjuntos maliciosos
Dado que HTML es uno de los tipos de archivos adjuntos más populares para introducir malware en el sistema de un usuario, es importante conocer otros tipos de archivos habituales que podrían ser igual de peligrosos:
Archivos .EXE
Como se mencionó anteriormente, los archivos .EXE o archivos ejecutables en un sistema operativo Windows son un popular (y conocido) vector de amenazas al que debes estar atento. Si ves uno de estos en un correo electrónico (de un remitente de confianza o no), debes evitar descargar y ejecutar el archivo.
Archivos .ISO
Los archivos ISO suelen utilizarse para almacenar e intercambiar una copia de todo lo que hay en la unidad de disco de una computadora y distribuir sistemas como Apple o Windows. Como ahora Windows puede montar estos archivos sin ningún otro software adicional, este tipo de malware adjunto adquirió popularidad en los últimos años.
Sin embargo, si los recibes a través de una cuenta de correo electrónico personal o profesional, y no pediste un sistema completo ni estás particionando tu computadora para ejecutar varios sistemas operativos, no es necesario tener este archivo.
Así que, para casi todos los casos, no lo descargues y elimina este archivo de tu bandeja de entrada, ya que seguramente se trate de malware.
Archivos de Microsoft Office
Dado que los archivos de Microsoft Office (como .DOCX, .XLSX o .PPTX) son formatos empresariales estándar omnipresentes en todo el mundo, son el vehículo ideal para hacer llegar todo tipo de malware a empresas desprevenidas. También son uno de los más difíciles de evitar y suelen aparecer en forma de factura urgente o demanda final, que engaña a la víctima para que abra los archivos.
Cómo protegerse de los archivos adjuntos HTML maliciosos
Por suerte, hay una serie de medidas que puedes tomar para reducir la amenaza que suponen los archivos adjuntos HTML maliciosos y defenderte de ellos.
Un sistema de análisis y protección de correo electrónico
Un sistema de análisis y protección de correo electrónico específico es la primera defensa contra los adjuntos de correo electrónico maliciosos y los scripts incrustados. Sin embargo, como ya se indicó anteriormente, los sistemas de seguridad estándar no bastan para controlar la amenaza cambiante que representan los ciberdelincuentes de hoy en día.
Especialistas en ciberseguridad recomiendan una solución antivirus que incluya aprendizaje automático y análisis de código estático, que evalúe el contenido real de un correo electrónico y no solo el archivo adjunto.
Para una solución avanzada de ciberseguridad en línea, te recomendamos Kaspersky Premium. Nuestro paquete premium, un sistema galardonado para empresas y usuarios particulares, incluye asistencia remota las 24 horas del día, los 7 días de la semana.
Control de acceso estricto
Aunque se produzca una vulneración o una pérdida de credenciales, restringir el acceso de los usuarios al personal esencial es una buena forma de reducir el daño que un ciberdelincuente pueda infligir de forma realista.
También debes cerciorarte de que los usuarios que tengan acceso a sistemas clave utilicen la autenticación multifactor (a veces denominada MFA, verificación de dos factores o 2FA) para reducir aún más la exposición, al agregar otra capa a tu estrategia de ciberseguridad.
Otra forma eficaz de proteger tus activos esenciales de los errores de acceso de los empleados (sobre todo si trabajan a distancia) es utilizar una Red privada virtual o VPN.
La VPN de Kaspersky permite a sus usuarios conectarse a distancia a los servidores de la empresa a través de un túnel digital cifrado. Este túnel protege el sistema de los posibles peligros del Wi-Fi público y de las conexiones a Internet no seguras, sin importar dónde se encuentre el usuario.
Capacitación y mejores prácticas en materia de ciberseguridad
Una de las formas más sencillas de proteger cualquier activo valioso de un ataque de archivos adjuntos HTML es capacitar a tu personal (o a ti mismo) en las mejores prácticas de ciberseguridad y en cómo detectar correos electrónicos, archivos y archivos adjuntos sospechosos.
Esto implica no compartir contraseñas ni credenciales de acceso a la empresa con los compañeros, no reutilizar contraseñas para diversos programas o cuentas (te recomendamos que utilices un Administrador de contraseñas o una Bóveda, que cifre tus contraseñas y las rellene automáticamente cuando sea necesario), y utilizar siempre una contraseña o frase de contraseña segura (de 10 a 12 caracteres de longitud, que contenga una mezcla de caracteres especiales, números, mayúsculas y minúsculas).
Preguntas frecuentes sobre archivos adjuntos HTML
¿Qué son los archivos adjuntos HTML?
Los archivos adjuntos HTML son archivos adjuntos a los correos electrónicos que están codificados en el Lenguaje de marcado de hipertexto. En los últimos años, los archivos adjuntos HTML maliciosos (los que contienen malware incrustado o vínculos basados en JavaScript a sitios web de phishing), se convirtieron en vectores frecuentes para los ciberdelincuentes que buscan eludir los firewalls y los sistemas de protección del correo electrónico.
¿Pueden los archivos HTML contener virus?
Sí, los archivos HTML pueden contener virus y otros tipos de malware, como estafas de phishing y ransomware. Este tipo de ciberataque se conoce como archivos adjuntos HTML maliciosos o ataque de contrabando de HTML. Consiste en utilizar vínculos JavaScript a ventanas de inicio de sesión falsas o malware incrustado para aprovechar las credenciales y los archivos personales de un usuario.
¿Pueden ser peligrosos los archivos HTML?
Sí, los archivos HTML (incluso los adjuntos en los correos electrónicos) pueden ser muy peligrosos para tu sistema. En los últimos años, los especialistas en ciberseguridad notaron un aumento de los ciberataques sofisticados que utilizan archivos adjuntos HTML maliciosos para robar datos personales. Este tipo de ataque suele denominarse contrabando de HMTL.
¿Qué es el contrabando de HTML?
El contrabando de HTML es una forma de ciberataque cada vez más frecuente que aprovecha el Lenguaje de marcado de hipertexto (generalmente HTML 5) y JavaScript para introducir de "contrabando" diversas formas de malware en el sistema de un usuario. Puede eludir los protocolos tradicionales de protección del correo electrónico y permitir al pirata informático crear el malware localmente detrás del firewall de la víctima.
Artículos relacionados:
- ¿Qué son los administradores de contraseñas? ¿Son seguros?
- ¿Qué es el ransomware?
- ¿Qué son el spam y las estafas de phishing?
- ¿Qué son los troyanos y qué tipos existen?
Productos recomendados: