La historia tiende a repetirse y los creadores de malware están utilizando dos métodos particularmente astutos para dispersar el código informático maligno a los desprevenidos usuarios de Excel.
Los lectores de cierta edad recordarán el virus de Melissa que se liberó por primera vez en marzo de 1999. Este explota los ordenadores infectados en todo el mundo por medio de un código de macros maliciosos dentro de los documentos de Office, como las hojas de cálculo de Excel. En efecto, el virus se enviaba por correo electrónico a todos los que estaban en la lista de contactos de Outlook de un usuario afectado.
En respuesta, Microsoft añadió precauciones de seguridad a Excel, como discutiré más adelante en este artículo. Con el auge de Internet los creadores de malware parecían haber pasado de los documentos de Office para peatones a otros métodos de distribución de virus y malware.
Un nuevo e innovador intento involucra los archivos .IQY, que son archivos de texto usados para almacenar instrucciones de consulta en la web para recuperar datos de Microsoft Excel. Estos archivos .IQY están configurados para descargar un script de PowerShell que a su vez puede descargar discretamente malware.
PowerShell es una herramienta de automatización y configuración de tareas desarrollada por Microsoft. Los archivos .IQY no son hojas de cálculo de Excel, sino archivos de texto asociados a Excel. Por lo tanto, Excel se lanzará si abre un archivo .IQY desde un archivo adjunto de correo electrónico.
La mayoría de los usuarios se encontrarán entonces con una advertencia de seguridad sobre un posible problema de seguridad. Si un usuario hace clic reflexivamente en Activar en el aviso, entonces el script de PowerShell descarga el código malicioso real. El usuario debe entonces hacer clic en Sí a un segundo aviso de seguridad que le pregunta sobre la habilitación de Datos Remotos. Aquí surgen dos lecciones obvias:
- Nunca haga clic en archivos que tengan tipos de archivo desconocidos, como el formato .IQY.
- Nunca haga clic en «Sí» o «Activar» en las indicaciones de seguridad que aparecen en Microsoft Excel a menos que esté absolutamente seguro de la fuente de un documento determinado.
Los documentos maliciosos se transmiten mediante métodos de suplantación de identidad que incluyen nombres de archivo como «Factura impagada», «Factura vencida» o términos similares. Estas técnicas tratan de ingeniar socialmente a los usuarios desprevenidos para que abran el archivo adjunto.
Otra explotación reciente de las hojas de cálculo de Excel es la de Adobe Flash, que es una aplicación utilizada para crear gráficos y vídeos para Internet y otras plataformas. Los piratas informáticos encontraron una forma de incrustar cargas útiles de malware en objetos Flash incrustados en las hojas de cálculo de Excel.
Estas son sólo dos de las muchas maneras en que las hojas de cálculo infectadas pueden intentar arruinar tu día, o peor aún, secuestrar tu computadora. Adobe rápidamente parcheó este exploit dentro del software de Flash, pero si el riesgo permanece para cualquiera que se retrase en mantener su software actualizado.
Sin embargo, hay formas de mantenerse a salvo. He escrito anteriormente sobre el uso de Vista Protegida en Excel para abrir con seguridad documentos de procedencia incierta. Dependiendo de su configuración, los archivos que abra desde Internet o los archivos adjuntos de un correo electrónico pueden iniciarse automáticamente en Vista Protegida.
Cuando este modo está activado, puedes ver la hoja de cálculo con seguridad, pero no podrás editarla hasta que hagas clic en Activar contenido. Del mismo modo, cualquier tipo de conexión de datos externos también se desactiva mientras el libro de trabajo se muestra en la Vista Protegida.