El malware empotrado es una nueva variación que hace la amenaza de los PDFs aún peor. Esto es lo que tiene que hacer para mantenerse seguro.
Los ataques perpetrados usando archivos de PDF envenenados han tomado la delantera en la lista de peligros, según las estadísticas de las principales compañías de seguridad. Symantec informa (find.pcworld.com/70096) que el número de archivos PDF sospechosos subió tanto en el 2009 que llegó a representar el 49 por ciento de los ataques basados en la Web detectados por la compañía, mientras que en el 2008 sólo llegaban al 11 por ciento. El segundo ataque más común, el viejo método de aprovechar un defecto de Internet Explorer, estuvo muy detrás con un 18 por ciento.
En un caso típico, los piratas pudieran secuestrar un sitio legítimo para insertar un archivo PDF diseñado para aprovechar defectos en Adobe Reader. Ellos pueden colocar vínculos a ese PDF por medio de trucos de ingeniería social como el correo indeseado o comentarios en un blog o en una red social. Hasta los usuarios más astutos que confirman el vínculo verán un dominio legítimo. Como desconocen que el sitio ha sido pirateado, probablemente descargarían el archivo para abrirlo.
Ahora, una nueva amenaza permite la ejecución de software malicioso que se esconde dentro de un archivo PDF. En este tipo de ataque, descubierto por el investigador Didier Stevens, basta con abrir el archivo PDF para provocar un intento de instalación del malware. La acción hace que Adobe Reader muestre una ventana de confirmación, que le da la oportunidad de detener el ataque pulsando el botón "No abrir" – pero Stevens encontró que los atacantes podían modificar el mensaje emergente. En su ejemplo (find.pcworld.com/70097) el texto dice "Para ver el mensaje cifrado en este documento PDF, seleccione 'No mostrar este mensaje otra vez' y pulse el botón Abrir". Utilizando mensajes de este tipo los atacantes podrían despejar las sospechas de las víctimas potenciales.
Para colmo, la amenaza del malware empotrado se aprovecha de la funcionalidad de la norma PDF. Como tal, funciona no sólo en Adobe Reader sino también en cualquier otro lector de PDF aunque esté actualizado. Los creadores del troyano Zeus ya utilizan esta técnica para extender su imperio.
Cómo defenderse de esta amenaza
Sería beneficioso cambiar una configuración en la versión actual de Adobe Reader. Diríjase a Preferencias • Administrador de confianza, y desactive 'Permitir la apertura de datos adjuntos no de PDF con aplicaciones externas'. Para más detalles, vea find.pcworld.com/70098.
La nueva versión 3.3 del lector de PDF Foxit (find.pcworld.com/70099) también tiene una variable de 'Lectura segura' – que viene activada en el modo predeterminado bajo una nueva sección de Administrador de confianza en las preferencias – que también bloquea la ejecución de programas.
Como los ataques tradicionales de PDF casi siempre buscan los numerosos defectos en Adobe Reader, sería una buena idea usar un programa PDF distinto. Pero eso no garantiza la seguridad. Cuando apareció la amenaza del malware empotrado, Foxit ni siquiera mostraba una ventana de confirmación – simplemente dejaba que el ataque siguiera. Cualquier lector que usted use debe estar al día. Tanto Adobe como Foxit están trabajando en funciones de seguridad para mitigar el riesgo del malware empotrado.
Por último, un buen programa antivirus pudiera evitar que el PDF malicioso inicie un ataque. Y VirusTotal.com es excelente para explorar cualquier archivo descargado o recibido por correo electrónico con una variedad de motores antivirus. De cualquier manera, nunca está de más usar su propio juicio para reforzar sus defensas.