Windows tiene un grave problema de seguridad desde hace 8 años, pero Microsoft se niega a solucionarlo

La seguridad de los sistemas operativos es una preocupación constante, y la reciente revelación de una campaña de espionaje que lleva activa durante ocho años en Windows es, cuanto menos, inquietante. Investigadores de la firma especializada en ciberseguridad, Trend Micro, han destapado una vulnerabilidad que permite a atacantes ejecutar comandos maliciosos ocultos en los equipos de las víctimas a través de archivos manipulados.

Lo más alarmante del caso es la respuesta de Microsoft, que aparentemente considera este fallo como un problema de baja prioridad y no tiene planes inmediatos para solucionarlo a través de un parche de seguridad.

El "arma secreta": archivos .lnk manipulados

La técnica de ataque es ingeniosamente simple pero altamente efectiva. Los ciberdelincuentes crean archivos de acceso directo (.LNK) que, a primera vista, parecen enlaces a archivos o programas legítimos. Sin embargo, estos archivos están especialmente diseñados para incluir comandos maliciosos ocultos en sus argumentos de línea de comandos. La clave de su sigilo radica en el uso masivo de caracteres de espacio en blanco (espacios, tabulaciones, saltos de línea, etc.) para "enterrar" los comandos maliciosos reales, haciéndolos prácticamente invisibles para el usuario que inspecciona las propiedades del archivo.

Infectarse es preocupantemente fácil. Un ejemplo: un empleado de una empresa recibe un correo electrónico que parece provenir de un contacto conocido, adjuntando un archivo llamado "Informe de gastos del último trimestre.pdf". Sin embargo, un análisis más detallado (si el usuario tiene activada la visualización de extensiones de archivo) revelaría que en realidad se trata de un archivo llamado "Informe de gastos del último trimestre.pdf.lnk".

Al hacer doble clic en él, en lugar de abrirse un documento PDF, el sistema ejecuta en segundo plano una serie de comandos que descargan e instalan software espía sin el conocimiento del usuario. Este software podría registrar las pulsaciones de teclas, capturar pantallas, robar contraseñas o incluso dar acceso remoto al equipo a los atacantes. La sofisticación radica en que, al inspeccionar las propiedades del acceso directo, la víctima solo vería una larga cadena de espacios en blanco, sin sospechar la verdadera naturaleza del archivo.

Según el informe de Trend Micro, esta vulnerabilidad, identificada como ZDI-CAN-25373, ha sido explotada activamente desde el año 2017. Se han encontrado cerca de mil muestras de archivos .LNK manipulados, pero los investigadores creen que el número real de ataques podría ser mucho mayor, afectando a organizaciones en Norteamérica, Europa, Asia, Sudamérica y Australia.

Microsoft se niega a poner solución

El equipo de Zero Day Initiative (ZDI) de Trend Micro descubrió esta preocupante actividad y la reportó a Microsoft en septiembre del año pasado. Sin embargo, la respuesta de la compañía de Redmond ha sido calificar el problema como un fallo de interfaz de usuario y no como una vulnerabilidad de seguridad que requiera un parche inmediato. Dustin Childs, investigador de ZDI, fue uno de los grandes sorprendidos por esta respuesta, señalando que la capacidad de ejecutar código malicioso con tan solo un clic, aunque se oculte a la vista del usuario, debería considerarse un riesgo de seguridad que necesita ser abordado con una actualización.

Trend Micro incluso presentó una prueba de concepto de la explotación a través de su programa de recompensas por errores, pero Microsoft reiteró su decisión de no abordar esta vulnerabilidad con un parche de seguridad en el corto plazo, sugiriendo que podría considerarse para una futura versión del sistema operativo. Esta inacción, tras ocho años de explotación activa, plantea serias dudas sobre la prioridad que Microsoft otorga a la seguridad de sus usuarios en este caso particular.

El análisis de los archivos .LNK maliciosos revela un panorama preocupante sobre la autoría y los objetivos de estos ataques. Trend Micro ha identificado que aproximadamente el 70% de estos archivos están vinculados a grupos de Amenazas Persistentes Avanzadas (APT) patrocinados por estados. Entre estos, Corea del Norte destaca como el principal origen de los ataques (46%), seguido por Rusia, Irán y China (alrededor del 18% cada uno).

En cuanto a los objetivos, se ha observado una clara preferencia por entidades gubernamentales, el sector privado, instituciones financieras (incluidas las relacionadas con criptomonedas), ONGs y empresas de telecomunicaciones. Los sectores militar y energético también figuran entre los más atacados.

Cómo protegerse de la amenaza

La decisión de Microsoft de no lanzar un parche de seguridad inmediato deja a los usuarios de Windows en una posición vulnerable. Aunque la compañía aconseja precaución al descargar archivos de fuentes no confiables, la realidad es que aparentemente inofensivo puede tener graves consecuencias.

Ante esta situación, ¿qué medidas podemos tomar los usuarios?

• Máxima precaución con archivos adjuntos y enlaces: sospecha de cualquier correo electrónico o mensaje inesperado, especialmente si contiene archivos adjuntos o enlaces. Verifica siempre la identidad del remitente.
• Activar la visualización de extensiones de archivo en Windows: esto te permitirá identificar más fácilmente archivos .LNK que intenten hacerse pasar por documentos u otros tipos de archivos.
• Mantener actualizado el software de seguridad: un buen antivirus con protección en tiempo real puede detectar y bloquear la ejecución de archivos maliciosos, aunque en este caso particular, la amenaza se aprovecha de una funcionalidad legítima del sistema.