El regreso de macro

Microsoft declina su decisión de bloquear las macros por defecto. Analizamos las consecuencias en ciberseguridad para las empresas.

Una de las formas más comunes de propagar malware es añadiendo comandos maliciosos a las macros de los documentos. En la gran mayoría de los casos, se trata de macros para archivos de Microsoft Office. Es decir, para documentos Word, hojas de cálculo de Excel o presentaciones Power Point. El empleado medio de una empresa maneja muchos archivos de este tipo cada día.

Desde hace mucho tiempo esto necesita una solución (más o menos desde hace 20 años, cuando surgió este problema). En febrero, Microsoft anunció su intención de bloquear la ejecución de macros en documentos descargado de Internet. No obstante, a principios de julio, los usuarios de Microsoft Office se dieron cuenta de que dicha decisión había sido revertida. En el momento de esta noticia, la empresa aún no había emitido ningún comunicado oficial sobre esa decisión, aunque un portavoz señaló que era temporal y “en base a comentarios”. En cualquier caso, es un buen momento para recordar qué son exactamente las macros, cómo pueden afectar a la ciberseguridad de las empresas y cómo protegerse de esta amenaza.

¿Qué son las macros y por qué pueden ser un peligro?

A menudo, los usuarios de Microsoft Office necesitan automatizar varios procesos. Para ello, pueden programar un determinado algoritmo o secuencia de acciones, conocido como macro. Un ejemplo sencillo: un contable elabora un informe estándar cada mes y, para ahorrar tiempo, crea una macro para resaltar automáticamente los nombres de los clientes en la segunda columna en negrita.

Las macros se crean en VBA (Visual Basic para aplicaciones), que, a pesar de estar simplificado, sigue siendo lenguaje de programación. Para sorpresa de nadie, los atacantes lo utilizan para sus propios fines.

Vale la pena señalar que familiarizarse con las macros implica un conocimiento muy profundo de la suite de Office, lo cual no es algo que todos los empleados tengan, sin importar lo que hayan dicho en sus currículums. Algunos de ellos ni siquiera conocen la existencia de las macros como tal. Los ciberdelincuentes, en cambio, no utilizan esto para crear algoritmos inofensivos que automaticen procesos, sino para desarrollar comandos maliciosos.

¿Cómo lo hacen?

Un ataque típico a una empresa comienza con un envío masivo de correos electrónicos maliciosos a los empleados. Dichos mensajes pueden parecer ofertas de trabajo, noticias sobre la empresa, facturas de proveedores, información sobre los competidores, etc. El nivel de sofisticación depende de la imaginación de los atacantes. El objetivo principal es lograr que el destinatario abra el archivo adjunto o descargue un documento clicando en el enlace para luego abrirlo.

Lo que los cibercriminales necesitan es que la macro maliciosa dentro del archivo sea ejecutada. Hace eones, las macros incrustadas se ejecutaban de forma automática, pero Microsoft limitó esta función para que ahora, al abrir un archivo descargado en línea, se le informe al usuario que las macros no están habilitadas.

Entonces no hay ningún problema, ¿no? No es tan sencillo. Muchos usuarios hacen clic en el botón “habilitar contenido” sin pensar, lo que hace posible la ejecución automática de dichas macros y, paralelamente, se abre la puerta al malware. De esta manera los atacantes obtienen continuamente accesos a la infraestructura de la empresa objetivo. Además, como mencionamos antes, gran parte de los empleados no tienen idea de los problemas que puede desencadenar un clic inocente en el botón “habilitar contenido”.

Finalmente, Microsoft tomó la única decisión correcta: no darle al usuario ninguna opción, para así bloquear las macros de forma determinada en los archivos descargados. La comunidad de expertos en seguridad de la información recibió esta noticia con alivio y la implementación de esto comenzó en abril de este año. En lugar de un botón, los usuarios vieron la advertencia de seguridad con un link a una publicación sobre los peligros de las macros. Pero esta alegría duró poco: el cambio fue revertido poco tiempo después.

¿Cómo puedes protegerte?

Los administradores de IT de las grandes empresas siempre han sido capaces de deshabilitar las macros a nivel de la política de seguridad. Por tanto, si los flujos de trabajo no requieren utilizar macros, recomendamos en general hacer lo mismo. Al hacerlo, un usuario que abra un documento con una macro verá una advertencia diferente:

Si esta opción no está disponible por algún motivo, hasta que Microsoft reintroduzca el bloqueo predeterminado de macros en los archivos descargados, es vital proteger todos los dispositivos de trabajo con soluciones de seguridad fiables. Además, recomendamos concienciar y formar a todos los empleados de la empresa en conceptos básicos de ciberseguridad, poniendo especial atención en los siguientes puntos:

  • Nunca descargar y luego abrir archivos inesperados, aunque parezcan venir de una persona u organización de confianza. Es probable que los hayan enviado estafadores.
  • No aceptar y habilitar a ciegas contenido de archivos descargados de internet o recibidos vía correo electrónico. Para la visualización normal del contenido, no debería ser necesario realizar esas acciones.
  • Desconfía si alguien, en un correo electrónico o un sitio web, solicita que el contenido sea habilitado.
Consejos