El PDF es uno de los formatos más utilizados para enviar documentos en la actualidad, tanto por particulares como por empresas y por ello estos documentos son también una de las vías habituales a las que recurren los ciberdelincuentes para introducir malware en nuestros equipos. En este artículo analizaremos cómo se infecta un PDF con malware, cómo detectarlos y cómo protegernos de ellos.
En este artículo hablamos de:
Los archivos PDF pueden ser una entrada para el malware
Junto a los documentos de Word y los de Excel, los PDF son uno de los formatos más utilizados para enviar todo tipo de documentos, desde facturas, pasando por contratos hasta instrucciones o manuales. Estamos ante un tipo de formato muy versátil, que permite incorporar textos, imágenes, vídeos, etc., en un solo documento, lo que simplifica mucho el envío de documentación multimedia a empresas y particulares.
Por ello, es además unos de los formatos a los que se convierten más archivos cuando una empresa decide comenzar un proceso de digitalización de documentos, ya que existen programas y aplicaciones, online y offline, que facilitan y simplifican esta labor.
Esta popularidad, la propia estructura de los PDF y las vulnerabilidades que han acompañado a algunos lectores de PDF a lo largo de los años, han hecho que sean también uno de los medios más utilizados para introducir todo tipo de malware en los equipos informáticos de empresas y particulares.
Métodos habituales empleados para crear PDF maliciosos
El medio más habitual utilizado para distribuir malware en PDF es a través de intentos de phishing o ataques similares de ingeniería social.
Respecto a cómo se puede meter un virus en un PDF, de acuerdo a un estudio llevado a cabo por ESET, son dos los métodos más utilizados para ello: mediante el uso de scripts o mediante exploits que aprovechan alguna vulnerabilidad presente en lector de PDF.
Hay que tener en cuenta que los PDF permiten, como ya hemos dicho, incluir en ellos otros tipos de archivos, pero también pueden incluir acciones y comandos que permiten abrir archivos, reproducir un objeto multimedia o ejecutar JavaScript, entre otros. Esto hace que un hacker pueda manipularlos e insertar en ellos un código o un script que permita la ejecución del malware.
Usando scripts
Cuando se utilizan scripts en un PDF, lo que se hace es embeber un script en el documento. El objetivo de este script es acceder y ejecutar otro malware completo, para ello, se puede recurrir a dos formas de hacerlo:
- Descargando el malware desde un sitio externo y ejecutándolo (a través de un enlace que conduzca a estos sitios).
- Ejecutando el malware que está embebido como otro objeto dentro del PDF (un enlace a otro archivo, un vídeo, un texto, etc.).
Sin embargo, para que este tipo de ataque a través de un PDF infectado con malware funcione, es necesario que el script se ejecute de forma automática e inmediata al abrir el PDF, para lo que se recurre a un tipo de comando determinado que se encarga de abrir el script, muchas veces sin la intervención del usuario.
Usando exploits
Cuando se recurre a exploits, lo que se hace es incluir en el PDF un exploit creado para aprovechar una vulnerabilidad existente en el programa con el que se abrirá en el PDF, habitualmente un lector de PDF, como puede ser Adobe Reader.
La vulnerabilidad es un agujero de seguridad existente en un programa o aplicación, incluso en un hardware, que permite que se puedan utilizar los denominados exploits para colarse en los sistemas informáticos de los particulares y empresas que los usan. De manera que a través de un exploit se aprovecha una vulnerabilidad para infectar con un malware determinado un equipo.
En el caso de los PDF, esas vulnerabilidades están en los programas que usamos para abrirlos, leerlos o incluso editarlos. Lo normal es que estas vulnerabilidades se resuelvan vía parche o actualización del software, pero hay algunas vulnerabilidades que pueden no estar solucionadas y ser conocidas (como las de día cero), lo que representa una seria amenaza.
En cualquier caso, para tener más éxito con este tipo de ataque, es necesario que los ciberatacantes conozcan qué programa y versión del mismo se está usando para crear, abrir y leer un PDF. Para ello recurren a los metadatos del PDF; los metadatos, si no se editan previamente, contienen esta información y aquí da igual que se recurra a proteger el PDF, existen aplicaciones que permiten extraer los metadatos y visualizarlos sin problema.
Esto se suele llevar a cabo en ataques dirigidos contra empresas, donde el atacante se hace pasar por un cliente solicitando alguna clase de información, que probablemente le será facilitada vía documento en PDF. Una vez con el documento en su poder, solo tiene que extraer los metadatos y comprobar qué tipo y versión de software se ha empleado para crear el PDF y si este tiene alguna vulnerabilidad que pueda explotar.
¿Cómo detectar un PDF infectado?
Ahora que ya sabemos cómo insertar un virus en un PDF o cómo emplear un exploit en un PDF, ¿hay alguna forma de detectarlos antes de que infecten nuestro equipo con malware?
La respuesta es sí, podemos detectar un PDF infectado con malware. Lo más habitual y recomendable es, ante la sospecha, analizar un PDF malicioso antes de abrirlo. Para ello podemos recurrir a cualquier solución de seguridad o antivirus del mercado, la mayoría incluyen una herramienta de escáner para detectar virus y amenazas conocidas. Si el escáner detecta la presencia de algún tipo de malware, lo mejor que podemos hacer es eliminar el PDF del sistema cuanto antes.
También es posible detectar malware en un PDF cuando estos recurren a un script; muchos lectores y editores de PDF ya bloquean la apertura automática de un script embebido en el PDF y solicitan al usuario permiso explícito antes de abrirlo, avisando de que podría contener virus que pueden dañar el equipo.
Si al abrir un PDF nos aparece este tipo de cuadro de diálogo, salvo que estéis muy seguros del origen del PDF, lo más recomendable es denegar el permiso y eliminar el PDF.
¿Cómo protegernos del malware en PDF?
Protegernos del malware en PDF pasa por tener en cuenta y llevar a la práctica varios consejos de ciberseguridad, de la misma forma que nos aseguramos de proteger nuestras cuentas activando la verificación en dos pasos o nos aseguramos de que estamos en la página correcta y real de nuestro banco a la hora de hacer una transferencia bancaria por Internet. Muchas veces se trata de aplicar el sentido común y la precaución y reforzar la seguridad de nuestros equipos y redes con un antivirus.
Así, para evitar ser víctimas de vulnerabilidades conocidas y exploits, debemos tener en cuenta dos cosas: la primera, no publicar o comentar qué software estamos empleando para crear o leer PDF. Y la segunda, si creamos documentos en PDF, borrar los metadatos de los mismos, para no dejar pistas al respecto de qué programa estamos usando para ello.
Desconfiar de emails con documentos en PDF adjuntos de direcciones o remitentes desconocidos. Esto es más fácil para un usuario particular, que ya está habituado y sabe reconocer un ataque de phishing, pero en empresas donde se reciben muchas veces emails de potenciales o nuevos clientes o proveedores, puede resultar un poco más complejo, especialmente si los ciberdelincuentes recurren a un ataque de spear phishing sofisticado, por ejemplo, solicitar firmar un PDF digitalmente haciéndose pasar por un proveedor.
Para esos casos, lo mejor es contar con una solución de seguridad que pueda analizar y detener la ejecución de JavaScript en los PDF, especialmente cuando el programa que se emplea para leerlos o editarlos pueda tener alguna vulnerabilidad conocida.
En caso de que abramos un PDF y aparezca el cuadro de diálogo que mencionamos antes, solicitando permiso para abrir, ejecutar o activar alguna función del documento, lo mejor es denegar el permiso y ponerse en contacto con el supuesto remitente para comprobar la autenticidad del documento.
Mantener actualizados a la última versión tanto el programa de lectura y edición que se emplee para leer y editar PDF, de manera que se eviten vulnerabilidades conocidas de versiones anteriores. Así como de la solución de seguridad o antivirus que se esté utilizando.
Ya lo mencionamos en el punto anterior, pero antes de abrir un PDF, sobre todo si no estás seguro de su procedencia o lo has descargado de alguna página web, debes realizar un análisis en busca de virus o amenazas con la herramienta de escáner de tu antivirus (en realidad, esta acción deberías llevarla a cabo con cualquier archivo que descargues de Internet).
En resumen, los PDF con virus para enviar son más habituales de lo que pensáis y una vía para infectar nuestros ordenadores o los de nuestra empresa relativamente sencilla. Afortunadamente, también son relativamente fáciles de detectar y evitar siguiendo los consejos que os hemos dejado en las líneas anteriores.