Las macros son programas de propósito especial que se utilizan para automatizar procedimientos dentro de una aplicación o una pieza de software más grande. Por lo general, una macro consta de una serie de comandos escritos en un lenguaje de programación estándar que sirven para llevar a cabo acciones concretas.
Estos comandos son ejecutados automáticamente por la aplicación cuando se produce un determinado desencadenante.
Las macros se implementan dentro de Office para permitir la automatización de tareas y procedimientos comunes, como por ejemplo:
- Crear una tabla de contenido.
- Guardar un rango seleccionado como PDF.
- Convertir un texto en voz.
- Cambiar el tamaño de todos los gráficos.
- Resaltar la fila y la columna activas haciendo doble clic.
- Verificar la ortografía y resaltar errores ortográficos.
Diferentes suites usan diferentes lenguajes de macros: Visual Basic para aplicaciones de MS Office, LibreOffice Basic para LibreOffice y OpenOffice Basic para OpenOffice.
La mayoría de los lenguajes de macros generados para Office tienen características bastante extensas y también pueden acceder a varios recursos del sistema.
Por ejemplo, las macros de MS Office (escritas en VBA) pueden ejecutar aplicaciones y usar capacidades de red.
Por qué pueden llegar a ser un problema
Al igual que pasa con cualquier programa que permite la ejecución de secuencias de comandos en segundo plano, los atacantes pueden explotar las diferentes suites ofimáticas para ejecutar código malicioso y comprometer a las víctimas.
Por lo general, el macromalware actúa como un cargador en la cadena de infección que descarga y ejecuta una carga útil de malware.
Por ejemplo, los villanos que estaban detrás de Quakbo distribuían sus cargas útiles de malware en forma de un documento de Excel supuestamente cifrado con el software DocuSign.
Intentaban convencer a sus objetivos para que habilitasen las macros para poder descifrar y ver el contenido.
Una vez que el destinatario abría el archivo, se ejecutaba el código malicioso.
Muchos ataques de ransomware se perpetran a través de este método.
Esto se denomina «Spear phishing Macro Attack» y ha prevalecido durante mucho tiempo.
Otro ejemplo memorable de macro-malware es el virus Melissa, (supuestamente llamado asi en honor a una stripper de Florida) que apareció por primera vez en 1999.
El malware estaba incrustado en un archivo de MS Word y, cuando se abría, se enviaba por correo electrónico (normalmente Microsoft Outlook) a los primeros 50 contactos de la libreta de direcciones de la víctima.
Aunque no causó mucho daño a los usuarios domésticos, ya que el uso generalizado de ordenadores en los hogares no era tan alto como ahora, el valor total de los daños causados a corporaciones y agencias gubernamentales en todo el mundo se estimó en unos 80 millones de dólares.
Bloqueo de macros de Office obtenidas de Internet
A partir de abril de 2022, Microsoft bloqueará de manera predeterminada la ejecución de macros de BVA en archivos de Excel, PowerPoint, Word, Visio y Access obtenidas desde Internet.
Microsoft también planea actualizar Office LTSC, Office 2021, Office 2019, Office 2016 e incluso Office 2013.
Los usuarios ya no tendrán la opción de habilitar el contenido pulsando solamente en un botón.
En su lugar aparecerá un aviso en la barra de mensajes, en el que se tendrá que pulsar para obtener más información.
Cuando los usuarios hagan clic en el botón «Aprender más» serán dirigidos a un artículo de Microsoft que explicará el peligro de las macros maliciosas.
El mismo artículo también contendrá instrucciones sobre cómo ejecutar la macro en caso de que el usuario crea que el archivo es seguro.
Esto implica volver a guardar el archivo, acceder sus propiedades y desbloquear manualmente el documento.
Esta opción, un poco engorrosa, es más segura, y se espera que mantenga a salvo tanto a los usuarios domésticos como a los que trabajan en una empresa contra ataques maliciosos como los de TrickBot, Qbot, Dridex y Zloader.
Pero eso no quiere decir que ya podremos bajar la guardia, ni que este tipo de ataques vayan a convertirse en una reliquia del pasado.
La nueva política de bloqueo de macros de Microsoft no se aplicará si un usuario abrió previamente un archivo y habilitó las macros.
Los cambios tardarán varios meses (o incluso años) en llegar a las versiones más antiguas de Office, si es que llegan.
Y en otro contexto, los usuarios aún podrán guardar documentos procedentes del correo electrónico o descargados de Internet, y luego abrirlos localmente de tal manera que se ejecuten sus macros incrustadas.
Por lo tanto nunca hay que ejecutar macros procedentes de Internet a menos que estémos seguros de lo que hacen.
Las macros pueden representar un riesgo de seguridad y no es necesario habilitarlas si lo que pretendemos es solo ver o editar un documento.