Un whatsapp de “Netflix” que ofrece cuentas gratis para el confinamiento. Un SMS del Servicio de Empleo Público Estatal que le asegura que está afectado por un ERTE y debe registrarse con sus datos bancarios para beneficiarse de ayudas. Tiendas online de mascarillas y productos sanitarios que nunca llegan, muestras gratis de un desinfectante a cambio de entregar nuestros datos personales... Son ejemplos reales de ganchos utilizados por los ciberdelincuentes para atacar equipos recabados por el Instituto Nacional de Ciberseguridad (Incibe) durante la cuarentena. La combinación de miedo, desinformación y aislamiento que envuelve a los usuarios, más dependientes que nunca de la tecnología, ha disparado su creatividad de los ciberdelincuentes. Durante el confinamiento no atacan más que antes, pero sí lo hacen con mayor precisión. Su víctima predilecta es siempre el elemento más voluble del sistema: el usuario.
Vía correo electrónico, SMS, enlaces en páginas web o apps de mensajería, el ciberdelito coloca trampas en contenido aparentemente legítimo que descarga malware -software para extraer datos o alterar un sistema- en nuestros dispositivos. En otras ocasiones, el engaño busca recoger datos personales del usuario para utilizarlos en intrusiones futuras o venderlo a terceros. El tipo de ataque evoluciona. Según el Incibe, mientras que en el primer cuatrimestre de 2019 el 99% de los intentos de brecha en la provincia buscaban capturar el equipo para una botnet y usarlo para apoyar ataques a empresas o webs; un año después la categoría que más veces ha hecho sonar las alarmas es el malware, con un 50,9% de los casos reportados a los sistemas de vigilancia del Incibe. Las botnets caen al 36% y los intentos de intrusión para explotar vulnerabilidades de la víctima suman un 11,7% de los avisos.
En total, en Alicante se han registrado 59.000 equipos con problemas de seguridad entre el 1 de enero y el 30 de abril, dato ligeramente inferior al del mismo periodo de 2019. Entonces, los dispositivos amenazados fueron 63.856. El dato de este año supone que 121 redes privadas, ordenadores o dispositivos móviles vieron comprometida su integridad cada día por un intento de ataque de estas características. Julián Lozano, responsable de Ciberseguridad en Clave Informática, consultora que atiende a más de 2.000 empresas de la provincia, señala que los intentos de ataque más habituales son “malware del tipo criptolocker”, que, una vez penetra, cifra y captura archivos a cambio de un rescate, así como virus maliciosos de otros tipos. “Estoy viendo muchos correos y SMS que imitan bastante bien el estilo de la Agencia Tributaria, el Servicio de Empleo y la Inspección de Trabajo”, sostiene Lozano, por lo que considera “probable” que “caiga mucha gente, especialmente particulares”.
Ejemplo de correo electrónico con malware recabado por Incibe
Que el usuario es el blanco principal en estos tiempos de incertidumbre y teletrabajo es una lectura en que coinciden el Incibe, y el Centro de Seguridad TIC de la Comunidad Valenciana, CSIRT-CV, uno de los organismos de respuesta digital ante amenazas más veteranos del país. “El porcentaje de incidentes habituales no ha variado, pero sí los vectores de ataque. Antes los hacían de forma generalista y ahora usan ganchos relacionados con la covid-19 porque llama más la atención de los usuarios”, apunta Jorge Chinea, responsable de Servicios Reactivos del Incibe. Por su parte, la directora del centro adscrito a la Dirección General TIC de la Conselleria de Hacienda y Modelo Económico, Lourdes Herrero, sostiene que “las preferencias de los atacantes se mueven hacia donde van los intereses informativos de los usuarios”.
Coronavirus informáticos
La directora del Centro de Seguridad TIC sostiene que en las últimas semanas “se han registrado más de 25.000 dominios relacionados con el coronavirus”. Mientras que “muchas de ellas son legítimas y buscan dar información veraz sobre el virus”, gran parte de estas webs “se crean para difundir malware”, según apunta la responsable del centro. Es la versión reciente de la técnica habitual de tematizar el cebo: “Ocurre igual durante el Black Friday o las compras de Navidad. Dirigen sus ataques de ingeniería social usando el contexto como envoltorio para que el usuario clique en una URL que infecta el equipo, inserte su nombre y contraseña o baje un archivo”, explica por su parte Chinea.
Ejemplo de anuncio fraudulento de material sanitario recopilado por Incibe
Otro boquete por donde intentan colar sus gusanos informáticos son las apps de moda, como las soluciones de videoconferencia. “Siempre buscan agujeros en nuestras aplicaciones, tanto en empresas como en usuarios. Buscan desde información de una factura, como tarjetas de crédito o acceso a redes sociales, y las apps con menos testeo siempre son más accesibles que los sistemas maduros”, añade el representante del Incibe.
Este robo de información puede causar un daño irrecuperable, especialmente en las empresas. Lozano detecta que en la provincia comienza a ser frecuente un tipo de intrusión conocida como el “fraude del CEO”, una intrusión muy sofisticada cuyo coste económico “puede comprometer la viabilidad” de la compañía. Tras hacerse con la contraseña del correo electrónico de una persona del nivel de administración, el delincuente investiga las operaciones recientes en la empresa hasta ser capaz de suplantar la identidad de un directivo y ordenar pagos completamente creíbles para el mando que recibe el mail. Según el informe Panorama Actual de la Ciberseguridad en España, presentado por Google en 2019, el coste medio de una intrusión de este tipo para la pyme europea ronda los 35.000 euros. El 60% de ellas se ve abocada al cierre tras el golpe.
Desde el CSIRT-CV, encargado de velar por la seguridad de la administración valenciana, su directora señala que los intentos de ataque detectados en las últimas semanas “no llegan ni a un 5% más”. Atribuye este ligero incremento precisamente a la mayor preparación con que han afrontado el reto de trasladar los centros de trabajo a las casas de los funcionarios. Para ello, se ha dotado de portátiles a los trabajadores y exigido unos mínimos de seguridad a aquellos que usan su propio equipo. “Deben tener un sistema actualizado y comprometerse por escrito a no instalar algunas cosas mientras dure la situación de teletrabajo”, explica. Herrero.
