Un artículo de la Wikipedia alemana utilizado para distribuir malware

Infección y propagación

Durante la semana pasada, al visitar el artículo sobre el virus Blaster en la Wikipedia alemana, se podía observar un texto completamente falso sobre la aparición de una nueva variante. El mismo artículo contenía un enlace a la descarga de una solución, que no era más que un nuevo malware que intentaría infectar al que lo ejecutase en Windows.

No se trata de una información sesgada o errónea la que se publicó en la enciclopedia libre (un problema que sufren con ciertos artículos sensibles), sino directamente falsa y destinada a la infección y propagación de malware. Tampoco es que se alojase el malware en los servidores de la Wikipedia, sino que contenía un enlace a un ejecutable en el exterior.

Para “promocionar” la descarga del malware, se envió correo basura. En él se hablaba de esta falsa nueva versión de Blaster y se apuntaba a la Wikipedia como medio fiable de ampliar información sobre el caso. Los responsables de la enciclopedia pronto eliminaron el artículo, aunque tardaron un poco más en darse cuenta de que permanecía en ediciones anteriores todavía almacenadas y que, aunque no directamente, el artículo fraudulento era accesible incluso después de eliminar la última versión.

De nuevo, y como ya ha ocurrido en varias ocasiones, se aprovecha la credibilidad de una página consolidada para intentar infectar a usuarios. Una técnica que debe gozar seguro de cierto “éxito”, teniendo en cuenta que todavía muchos usuarios toman como válido incluso el contenido de un correo reenviado que les llega con información sobre “el último virus que destroza el ordenador”.

Si las cadenas de correo reenviadas con bulos y fantasías víricas perduran desde hace años (los usuarios todavía las reenvían porque se las creen, no hay más motivo) es de esperar que no duden ni un segundo en descargar y ejecutar un archivo enlazado desde una página en la que confían habitualmente. Este método no es más que una evolución (en cierta manera lógica) que intenta infectar al segmento de incautos que no cree ya en el contenido de correos pero todavía se fía de todo lo que provenga de una página “de confianza” que lo confirme. Y nada mejor que la Wikipedia, cuyo carácter libre (ventaja y desventaja a la vez) puede facilitar la modificación temporal de los artículos.

Consejos que nunca fallan

Y es que los consejos “tradicionales” en los que se permitía confiar en el contenido de páginas legítimas ya no son válidos. Pueden ser modificados o verse a través de un sistema comprometido. Lo observamos constantemente con casos recientes de phishing, donde cada vez menos se recurre a webs montadas especialmente para el robo de datos y se intenta integrar la estafa para que tenga efecto a través de la propia página legítima (con la ayuda de troyanos, básicamente), o de banners de terceros infectados, visibles a través de páginas de confianza (ya hablamos de los casos de MySpace y Dilbert).

Ante este panorama de desconfianza generalizada, los consejos que “nunca fallan” (dentro de las limitaciones de la seguridad) siguen siendo los mismos de siempre: mantener actualizado el sistema y el antivirus, estar al tanto de las nuevas vulnerabilidades y aplicar las contramedidas aconsejadas (mientras no exista actualización oficial), cargar los programas con los mínimos privilegios y utilizar servicios como Virustotal.com antes de ejecutar archivos, ya provengan de enlaces en la Wikipedia, de fuentes no confiables o (lo que resulta equivalente) de cualquier lugar.