® 
Ataque de Abrevadero (Watering Hole)
Definicion
Un ataque de abrevadero infecta sitios web frecuentados por las victimas objetivo y espera a que visiten el sitio infectado.
Un ataque de abrevadero (watering hole) es un ciberataque dirigido en el que los atacantes infectan sitios web frecuentados por las victimas previstas, esperando a que visiten el sitio comprometido. El nombre hace referencia a los depredadores que esperan en un abrevadero.
Como funciona un ataque de abrevadero?
El atacante identifica sitios web populares entre el objetivo: portales del sector, sitios de proveedores o foros especializados. Luego compromete el sitio web mediante una vulnerabilidad en el CMS, servidor web o plugin. Se coloca codigo malicioso que infecta a los visitantes mediante descargas drive-by o exploits del navegador. El malware puede entregarse selectivamente: solo visitantes de rangos de IP u organizaciones especificas son objetivo.
Ejemplos de ataques de abrevadero
El ataque al sitio web de la Autoridad de Supervision Financiera de Polonia (2017) apunto a empleados bancarios. La campana Havex comprometo sitios web de proveedores de sistemas de control industrial. Grupos APT como APT10 y OceanLotus usan regularmente ataques de abrevadero en campanas de espionaje.
Impacto para las organizaciones
Los ataques de abrevadero son especialmente dificiles de detectar porque el sitio comprometido es una fuente legitima y de confianza. NIS2 exige seguridad web adecuada y monitorizacion de amenazas.
Proteccion
Mantenga navegadores y plugins actualizados. Utilice sandboxing del navegador y filtrado de contenido web. Implemente filtrado DNS que bloquee dominios maliciosos conocidos. Monitorice el trafico saliente en busca de conexiones sospechosas. La inteligencia de amenazas identifica sitios web comprometidos.
Como ayuda DEFION
DEFION monitoriza mediante Managed Threat Intelligence indicadores de sitios web comprometidos relevantes para el sector del cliente.