Probablemente a todos nos ha pasado: recibimos un archivo, un documento de MsWord, de alguien que no conocemos, pero que por curiosidad o por alguna razón, decidimos abrir y entonces pasa lo indeseable: es un virus, un “malware”, que le da al traste a algunos archivos, a algunos documentos, y todo sin darnos cuenta hasta que decidimos que tenemos que trabajar con esos archivos. En otras ocasiones no tenemos habilitada la ejecución de macros y Word nos avisa amablemente que la habilitemos, por lo que si somos cuidadosos, quizás no nos puedan afectar.
Pues bien, después de no sé cuantas versiones de Office, Microsoft ha decidido trabajar un poco sobre la seguridad de su suite de oficina y ha anunciado una nueva característica en Office 2016 que hará que los atacantes que explotan el esquema de los macros, tengan más dificultades para meternos en problemas con el malware que por alguna razón insisten en ejecutar en nuestras máquinas.
Por años, el malware que viene como un archivo macro de Word ha sido una de las maneras más sencillas para infectar a los usuarios de Microsoft e incluso, a pesar de todas las advertencias que se han dado al respecto, muchas compañías han tenido dificultades por habilitar la opción de los macros en los documentos de Word.
Los macros son una manera de permitir contenido dinámico en Word, Excel y Powerpoint. Los macros permiten ejecutar scripts maliciosos inclusive, que se pueden conectar a Internet y descargar software de virus o simple malware que dañe archivos o el propio sistema. Un mecanismo común para distribuir un archivo malicioso vía un macro es a través del correo spam. Los usuarios reciben un archivo de Office y seguramente pensarán ¿qué peligro puede tener un archivo que es un documento? Pero ahí está el problema porque el macro le pide al usuario que habilite los macros para poder ver todo el documento y como ya dijimos, empiezan los dolores de cabeza.
Más de uno dirá que es claro que estos archivos son peligrosos, porque si consideramos que llegan de correos de personas que no conocemos, ¿por qué me mandarían un archivo de Word? Claramente se vuelve sospechoso el asunto. Pero la mayoría de la gente es menos perspicaz o más inocente y decide habilitar los macros para entonces caer en la cuenta que cometieron un error.
Cuando se habilita un macro, el script perverso se ejecuta y un virus, un “malware” pudiese descargarse entonces de un sitio web remoto, guardado en la computadora y ejecutado. En el pasado se vio macro-malware que ponía spyware, adware y en los últimos tiempos ransomware, que es un tipo de código malicioso muy peligroso, porque encripta los datos del usuario y solamente el programa sabe con qué calve desencriptarlo. Y entonces al pasar eso, el programador del malware pide rescate por los datos. Esto puede ser una auténtica pesadilla si no se tienen respaldos.
Por ello Microsoft ha anunciado que una nueva característica que estará en Office 2016, permitirá a los administradores de la red a bloquear la ejecución de macros si estos vienen de fuentes poco confiables, es decir, “Internet”. Esta característica puede ser controlada por las políticas de grupo y configurado para cada aplicación. Microsoft explica: “Permite a los administradores de empresas bloquear los macros de Word, Excel y Powerpoint que vienen de Internet”.
Una vez establecida esta protección, cuando un usuario quiere habilitar los macros, obtendrá un mensaje como este: “Contenido bloqueado por el administrador de la red”. Así, aunque el usuario quiera ejecutar un macro, desde los permisos del administrador se podrá bloquear esta posibilidad.
Llama la atención que esta característica haya tardado tanto en implementarse pero quizás con esto ya los programadores de macros maliciosos busquen otra alternativa. Ya veremos.
Referencias: