Un ataque watering hole —o ataque de abrevadero— consiste en infectar una web que visitas habitualmente para comprometer tu equipo sin que hagas nada sospechoso. No te envían un enlace raro ni te piden que descargues nada. Simplemente navegas a ese sitio de confianza que consultas cada semana, y el código malicioso inyectado en la página hace el resto. Es un ataque al sitio de confianza que explota precisamente eso: tu confianza. La web infectada puede ser un portal de noticias, un foro técnico, la intranet de un proveedor o incluso la web de un organismo público. Y lo peor: puede pasar semanas activa antes de que nadie lo detecte.
Cómo funciona un ataque watering hole paso a paso
El nombre viene del mundo animal. Los depredadores no persiguen a sus presas por la sabana; esperan junto al abrevadero, porque saben que tarde o temprano todas pasan por ahí. Los atacantes hacen exactamente lo mismo en el entorno digital.
El proceso suele seguir estas fases:
- Reconocimiento del objetivo: el atacante identifica un grupo específico de víctimas (empleados de una empresa, miembros de una asociación, usuarios de un sector). Investiga qué webs frecuentan: foros profesionales, portales de noticias sectoriales, webs de herramientas.
- Compromiso del sitio web: busca vulnerabilidades en esas webs. Un plugin desactualizado de WordPress, un CMS sin parchear, una inyección SQL olvidada. Cuando encuentra la puerta, inyecta código malicioso —normalmente JavaScript— en páginas concretas.
- Filtrado de víctimas: el código no ataca a todos los visitantes. Filtra por dirección IP, rango de red corporativa, idioma del navegador o sistema operativo. Si no eres el objetivo, no te enteras de nada.
- Explotación: si pasas el filtro, el script intenta explotar vulnerabilidades en tu navegador, lectores PDF u otro software desactualizado. Todo sin que veas nada raro en pantalla.
- Persistencia: una vez dentro de tu equipo, instala un backdoor, un RAT (Remote Access Trojan) o un loader que descargará más herramientas según lo que necesite el atacante.
La sofisticación varía. Algunos ataques de web comprometida usan exploits de día cero (zero-day) que ni el fabricante del software conoce todavía. Otros se aprovechan de parches que llevan meses publicados pero que nadie ha aplicado. Antes de visitar cualquier enlace, recuerda que puedes verificar si un enlace es seguro con herramientas específicas.
Casos reales que deberían quitarte el sueño
El watering hole no es teoría académica. Hay incidentes documentados que demuestran su eficacia.
| Caso | Año | Objetivo | Vector |
|---|---|---|---|
| VOHO Campaign | 2012 | Sector defensa y financiero de EE.UU. | Webs de think tanks y ONGs comprometidas con exploit de IE (CVE-2012-1875) |
| Ataque a Forbes.com | 2015 | Empleados de empresas tecnológicas y defensa | Widget "Thought of the Day" de Forbes inyectado con código malicioso |
| Polish Financial Supervision Authority | 2017 | Bancos polacos | Web del regulador financiero polaco infectada; atacantes filtraban por IP de entidades bancarias |
| Holy Water (APT) | 2019-2020 | Grupos religiosos y étnicos en Asia | Webs de organizaciones benéficas comprometidas con exploit kits personalizados |
| SolarWinds (componente) | 2020 | Agencias gubernamentales de EE.UU. | Aunque fue un supply-chain attack, algunas fases usaron webs comprometidas como infraestructura C2 |
El caso polaco es especialmente ilustrativo. Los atacantes infectaron la web del propio regulador bancario —el equivalente al Banco de España supervisando a los bancos—. ¿Quién sospecharía de la web de confianza de tu regulador? Es como si un hospital fuera atacado a través de la web del Ministerio de Sanidad. La ironía no tiene precio.
Por qué el watering hole es tan difícil de detectar
Los filtros de correo detectan phishing. Los antivirus bloquean descargas sospechosas. Pero un ataque de abrevadero esquiva la mayoría de defensas convencionales por varias razones:
- El dominio es legítimo. No hay URL sospechosa. Es la web que visitas siempre, con su certificado SSL válido y su reputación intacta en las listas de navegación segura.
- El tráfico parece normal. Tu navegador carga la web como cualquier otro día. El código malicioso se ejecuta dentro del contexto legítimo de la página.
- El filtrado reduce la huella. Si solo ataca a IPs de un rango corporativo concreto, los investigadores que visiten la web desde otras redes no verán nada anómalo.
- Los exploits pueden ser efímeros. Algunos atacantes activan el código malicioso solo durante horas concretas o lo eliminan tras infectar a un número limitado de víctimas.
Esto complica también la respuesta ante una brecha de datos: si no sabes que la fuente fue una web legítima comprometida, investigar el origen del compromiso se convierte en un rompecabezas sin bordes.
Grupos APT (Advanced Persistent Threat) como APT32 (OceanLotus), Lazarus Group o DarkHotel han utilizado variantes de web infectada como vector recurrente. No es un ataque de aficionados; requiere inteligencia previa sobre el objetivo y capacidad técnica para comprometer webs de terceros sin ser detectado.
Cómo protegerte de un ataque watering hole
No puedes controlar la seguridad de las webs que visitas. Pero sí puedes reducir drásticamente el impacto si alguna resulta ser una web comprometida.
A nivel de usuario
- Mantén todo actualizado. Navegador, sistema operativo, plugins. La mayoría de exploits usados en ataques de abrevadero se dirigen a vulnerabilidades ya parcheadas. Si actualizas, el exploit falla.
- Usa un navegador con sandboxing robusto. Chrome y Edge (Chromium) aíslan cada pestaña en un proceso separado. Esto limita lo que un exploit puede hacer incluso si consigue ejecutarse.
- Activa las extensiones de seguridad. uBlock Origin no solo bloquea anuncios; también bloquea dominios conocidos por servir malware. NoScript va un paso más allá impidiendo la ejecución de JavaScript de terceros.
- Contraseñas únicas con gestor. Si un ataque roba credenciales de sesión, que al menos no sirvan para acceder a otras cuentas. Aquí tienes una guía para configurar un gestor desde cero.
- Revisa las conexiones de tu equipo. Herramientas como GlassWire o el propio Wireshark te permiten ver conexiones de red sospechosas. Si tu navegador empieza a conectarse a IPs extrañas tras visitar un sitio habitual, investiga.
A nivel de empresa
- Segmentación de red. Si un equipo se compromete, que el atacante no tenga acceso libre a toda la infraestructura.
- DNS filtering. Servicios como Cisco Umbrella o Cloudflare Gateway bloquean conexiones a dominios C2 (Command & Control) conocidos.
- Threat intelligence. Suscríbete a feeds de amenazas que reporten webs comprometidas en tu sector. MITRE ATT&CK documenta la técnica de watering hole bajo el ID T1189.
- Monitorización de endpoints (EDR). Soluciones como CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint detectan comportamientos anómalos post-explotación, incluso si el vector inicial fue un sitio de confianza infectado.
- Navegación aislada. Para accesos a webs externas críticas, productos como Menlo Security o Zscaler Browser Isolation renderizan las webs en un contenedor remoto. El código malicioso se ejecuta en la nube, no en tu equipo.
Si gestionas dispositivos IoT o sistemas de domótica, el riesgo se multiplica: esos dispositivos rara vez reciben parches y sus interfaces web pueden ser objetivo de ataques watering hole dirigidos.
Preguntas frecuentes
¿Qué diferencia hay entre un ataque watering hole y el phishing?
En el phishing, el atacante te envía un enlace o archivo malicioso y necesita que tú actúes (clicar, descargar, introducir datos). En un ataque de abrevadero, tú visitas voluntariamente una web legítima que ha sido comprometida, sin necesidad de que nadie te envíe nada. El atacante no te busca; espera a que llegues.
¿Puede mi antivirus detectar un ataque watering hole?
Depende. Un antivirus tradicional basado en firmas probablemente no, porque el código malicioso se sirve desde un dominio legítimo y puede usar exploits nuevos. Las soluciones EDR modernas con análisis de comportamiento tienen más probabilidades de detectar la actividad post-explotación, aunque la infección inicial puede pasar desapercibida.
¿Los ataques watering hole solo afectan a empresas grandes?
No. Cualquier grupo con hábitos de navegación predecibles puede ser objetivo. Se han documentado ataques contra ONGs, comunidades religiosas, asociaciones profesionales y foros de nicho. El criterio del atacante es la relevancia del objetivo, no su tamaño.
¿Cómo sé si una web que visito ha sido comprometida?
Normalmente, no lo sabes hasta que alguien lo reporta. Puedes comprobar webs en VirusTotal (virustotal.com) o consultar el Google Safe Browsing Transparency Report. Si tu navegador muestra una advertencia de sitio engañoso, tómala en serio: a veces llegan tarde, pero llegan.
¿El HTTPS me protege de un watering hole?
No. HTTPS cifra la comunicación entre tu navegador y el servidor, pero si el servidor ya está comprometido y sirve código malicioso, lo recibirás cifrado y perfectamente empaquetado. HTTPS protege el canal, no el contenido que sirve un servidor infectado.
El siguiente paso
Abre tu navegador ahora mismo, ve a chrome://settings/help (o el equivalente en tu navegador) y comprueba que tienes la última versión instalada. Después, revisa que no tengas plugins o extensiones que llevan meses sin actualizar —son la puerta de entrada favorita en un ataque watering hole—. Cinco minutos de mantenimiento pueden ahorrarte semanas de respuesta a incidentes. Y si quieres entender otro tipo de ataque que también actúa sin que lo veas, echa un vistazo a cómo funciona un ataque CSRF.
