engañar a alguien activar macros en un archivo de Microsoft Excel o Word descargado es una vieja tontería de hacker. Este solo clic de un objetivo crea un punto de apoyo para que los atacantes tomen el control de sus dispositivos. Esta semana, sin embargo, Microsoft anunció un cambio aparentemente menor con implicaciones masivas: a partir de abril, las macros se desactivarán de forma predeterminada en los archivos descargados de Internet.
Las macros son pequeñas piezas de software que se utilizan para automatizar tareas como la recopilación de datos sin necesidad de desarrollar herramientas o aplicaciones adicionales. Pueden escribirse directamente en el lenguaje de programación Visual Basic for Applications de Microsoft o configurarse a través de herramientas de traducción que convertirán una serie de pasos en una macro VBA, sin necesidad de conocimientos de codificación. Las empresas dependen en gran medida de él, especialmente aquellas con infraestructura heredada, y desempeña un papel crucial en todo, desde los servicios financieros hasta las organizaciones gubernamentales. Pero como usuario individual de Microsoft 365, no es inusual que su única interacción con las macros fuera hacer clic en ese molesto botón «permitir» o saber cómo evitarlo.
Para los atacantes, la capacidad de escribir pequeños programas en aplicaciones masivas y confiables como Excel o Word crea la oportunidad de desarrollar lo que son esencialmente virus de macro. Los actores malintencionados también pueden diseñar estos programas para descargar y ejecutar automáticamente malware adicional en los dispositivos de las víctimas. Como resultado, ya sea que use o no esta función en su vida diaria, todos han estado expuestos a ella durante décadas, lo que hace que la decisión de Microsoft esta semana sea aún más importante.
“En unos años, consideraremos este anuncio como el mayor cambio de Microsoft para mitigar el acceso inicial de los actores de amenazas”, dijo Jake Williams, respondedor de incidentes y exhacker de la NSA. «Sus actores de amenazas de nivel superior o grupos NSO en todo el mundo ya no usan estas cosas de todos modos, pero definitivamente afectará a los estafadores, grupos de ransomware y otros delincuentes».
Según el analista de amenazas de Emsisoft, Brett Callow, al menos una cuarta parte de los ataques de ransomware contra empresas u otras organizaciones comienzan con intentos de phishing, que a menudo incluyen un documento malicioso que contiene macros contaminadas.
«Estoy muy complacido con el anuncio de Microsoft», dijo Callow. “Los ciberdelincuentes, por otro lado, estarán lejos de ser felices. En verdad, el cambio se había retrasado mucho.
«Siempre estamos trabajando para mejorar la seguridad», dijo un portavoz de Microsoft en un comunicado. «Actualmente, nuestros productos brindan una advertencia a todos los clientes que requieren que hagan clic antes de ejecutar macros desde Internet. Esta nueva función va un paso más allá con un paso adicional para proteger a los clientes en escenarios cotidianos. La compañía se negó a decir específicamente por qué tomó la zambullida ahora y no antes.
La respuesta probablemente involucre la tensión entre las necesidades de los grandes clientes de Microsoft que dependen de macros y el deseo de tomar medidas enérgicas contra los ataques relacionados con macros de una vez por todas. En Windows 10 y 11, una característica llamada Protección de aplicaciones de Microsoft Defender ha hecho que sea mucho más difícil para los atacantes obtener un acceso significativo a lo que anteriormente habrían sido ataques exitosos relacionados con macros. Pero Application Guard está diseñado principalmente para dispositivos empresariales, y muchas PC con Windows de consumo aún no lo admiten. Y, en general, el vasto universo de dispositivos Windows antiguos y obsoletos sigue funcionando sin defensas avanzadas.