McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra "free" (en este contexto, sería "gratis") tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud.
El estudio de McAfee no deja de ser anecdótico. El mundo del malware y sus creadores se han anticipado al dinamismo de la Red actual, y parecen trabajar a un ritmo mucho más acelerado "para estar a la última" que el resto de la industria. Esto hace que lo que hoy es considerado "menos peligroso" (un término más adecuado que "seguro"), constituya un peligro grave y patente a corto plazo.
Por ejemplo, hace ya muchos años que los atacantes aprovechan cualquier acontecimiento relevante, social, político o de cualquier otra índole para crear campañas de envío de correo basura por email. Si no, lo inventan. Las muertes ficticias de políticos, deportistas o famosos en general han sido enviadas en muchas ocasiones como anuncios en primicia a través del correo, incluyendo un vídeo demostrativo que esconde el malware.
La ventaja es que la infraestructura de los atacantes está ahí, solo tienen que cambiar la presentación, el papel de regalo. Por ejemplo, Conficker apareció aprovechando la vulnerabilidad MS08-067, solo unos días después de que fuera hecha pública. Esto no significa que fuera creado desde cero en ese tiempo, sino que sus creadores estaban atentos a la aparición de una vulnerabilidad de estas características. Así, incluyeron el código necesario para aprovecharla, y cubrir así de forma eficaz el módulo de "expansión" que les faltaba para completar su obra. El resto de la infraestructura del troyano llevaba, probablemente, meses siendo preparada y esperando el momento exacto.
Los atacantes pues, dedican un tiempo de desarrollo significativo al estudio de las tendencias y nuevas técnicas, modas y preferencias que aparecen en la Red para aprovecharlas cuanto antes y hasta sus últimas consecuencias. En el caso de las palabras de búsqueda, ocurre igual. A finales de 2008, usaron Google Trends para sindicar en tiempo real las palabras de búsqueda más populares, y poder así posicionar el malware más arriba en la lista de resultados de Google . Google Trends es un servicio de Google Labs que muestra los términos diarios más buscados, actualizados cada poco tiempo. Los atacantes supieron exprimir el servico en provecho propio, optimizando las búsquedas. Por supuesto, habían registrado previamente blogs y plataformas 2.0, para poder modificarlas con las palabras necesarias de forma automática y escalar en los resultados de los buscadores.
Por último, y con respecto al estudio de McAfee, cabe destacar que han contabilizado los sitios fraudulentos "puros", creados específicamente para ello. El problema es que literalmente, cientos de miles de páginas web legítimas son comprometidas e infectadas cada minuto con scripts que hacen que el visitante sea como mínimo, atacado. Por tanto, páginas legítimas hoy que aparecen en los primeros puestos de los buscadores ante cualquier búsqueda, pueden resultar nefastas mañana.
En conclusión el peligro, como siempre, no son las palabras que puedan ser buscadas en sí, aunque sí es cierto que algunas palabras más que otras, indican que el que las pretende encontrar está en realidad buscando problemas a gritos.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
Cybercriminals syndicating Google Trends keywords to serve malware
http://blogs.zdnet.com/security/?p=1995
"The Web's Most Dangerous Search Terms"
http://us.mcafee.com/en-us/local/docs/most_dangerous_searchterm_us.pdf
