Robos de datos, minado de criptomonedas y amenazas móviles, ciberriesgos en auge

El robo y filtraciones continuas de datos privados de usuarios y empresas es una constante que se viene repitiendo durante los últimos meses, pero el barómetro de ESET concluye que “septiembre fue especialmente prolífico en incidentes de este tipo”.

Según la firma, ha tenido un especial impacto el problema de seguridad de Facebook que inicialmente se pensó que había afectado a 50 millones de usuarios de la popular red social pero que, posteriormente, la red social rebajó la cifra a 29 millones. “Estos datos pudieron ser obtenidos de forma ilícita aprovechando la existencia de un agujero de seguridad en el código que permitía obtener los tokens de acceso para las cuentas de los usuarios afectados, llegando a poder tomar el control de ellas”, repasa el informe.

También los usuarios de la aerolínea British Airways fueron víctimas de un robo de información personal y financiera alojada en los servidores de la empresa. Al menos 380.000 pagos con tarjetas realizados a través de su aplicación y página web se vieron comprometidos.

El documento presta especial atención a Lojax, el primer rootkit UEFI utilizado en un ciberataque y que ha sido utilizado activamente contra organizaciones gubernamentales en los Balcanes, Europa Central y del Este por primera vez en la historia. “Nunca antes había sido detectado un malware de este tipo en un ataque real, algo que puede suponer un peligroso avance en las herramientas utilizadas por los delincuentes o grupos especializados para realizar ataques dirigidos”, dice la firma.

ESET también ha analizado otras amenazas que están todos los meses muy presentes en sus barómetros como los troyanos bancarios o el malware que mina criptodivisas.

Respecto a los primeros, destaca DanaBot, que fue descubierto a principios de año y que afectaba a usuarios de Australia y, posteriormente, de Polonia. Durante los últimos meses, este troyano se ha seguido expandiendo por el territorio europeo, especialmente en Italia, Alemania, Austria y, desde el pasado mes de septiembre, Ucrania.

En lo que se refiere al malware que mina criptodivisas sin permiso aprovechándose de los recursos de los sistemas a los que infecta, ESET dice que sigue siendo una de las amenazas más prevalentes y los delincuentes no dejan de innovar a la hora de conseguir nuevas víctimas. Durante el mes pasado vimos cómo algunos complementos para el popular gestor de medios Kodi estaban siendo utilizados como parte de una campaña de criptominería que utiliza complementos infectados descargados desde repositorios de terceros. La existencia de binarios de este malware tanto para Windows como para Linux nos hace pensar que los delincuentes tienen como objetivo a dispositivos como la Raspberry Pi, muy extendidos para visualizar contenido a través de esta plataforma.

Por otro lado, una de las actualizaciones periódicas que Microsoft realiza cada mes solucionó un grave fallo de seguridad que estaba siendo aprovechado por atacantes y que permitía escalar privilegios en sistemas desde Windows 7 a Windows 10. El grupo PowerPool aprovechó el exploit para realizar una campaña de ataques, afectando a una pequeña cantidad de usuarios en varios países repartidos por todo el mundo.

 A pesar de todos estos ataques más o menos avanzados, “desde finales de julio venimos observando una campaña de extorsión a los usuarios usando solamente el correo electrónico”, señalan sus expertos. En la mayoría de casos, este tipo de chantajes no funcionaría pero los delincuentes detrás de esta campaña están aprovechándose tanto de antiguas contraseñas de servicios comprometidos como de la suplantación del remitente del correo para hacer creer que han sido hackeados de verdad. Tras revisar los ingresos realizados a las carteras de Bitcoin de los delincuentes podemos decir que esta campaña les está saliendo muy rentable, si tenemos en cuenta el retorno de inversión obtenido y el poco esfuerzo realizado.

Amenazas móviles, en su línea
Los dispositivos móviles y, especialmente con sistema Android, siguen en el punto de mira de los delincuentes. Durante el mes pasado se vio cómo la descarga de aplicaciones maliciosas seguía siendo una tónica a la hora de conseguir que los usuarios instalasen código malicioso en sus smartphones, según el informe de seguridad.

 

Un ejemplo de esto está en el descubrimiento por parte de investigadores de ESET de varias apps de banca online y un exchange de criptomonedas fraudulentas que estarían orientadas a usuarios de países como Australia, Nueva Zelanda, Reino Unido, Suiza, Polonia y Austria. Estas aplicaciones fueron descargadas cientos de veces antes de ser retiradas en septiembre y su finalidad era robar detalles de las tarjetas de crédito y/o claves de acceso a las cuentas aquellas entidades financieras suplantadas mediante el uso de formularios falsos.

Por otro lado, una de las aplicaciones más esperadas entre los usuarios de Android, el videojuego Fortnite, también está siendo utilizado por los delincuentes para propagar sus amenazas. En este sentido, explica el informe que hasta 32 aplicaciones falsas disponibles para su descarga en doce tiendas no oficiales fueron encontradas y, lo que es peor, “se espera que esta tendencia siga produciéndose ahora que la aplicación ya ha sido lanzada de forma oficial y el desarrollador haya decidido no utilizar Google Play para distribuir el instalador del juego“.

Durante los últimos meses hemos visto cómo dispositivos tan comunes como los routers, y concretamente los del fabricante MikroTik, son objetivo de los delincuentes para controlarlos y desempeñar funciones como la criptominería. Numerosas vulnerabilidades existentes y ya parcheadas desde hace meses son aprovechadas para tomar el control de estos dispositivos, lo que demuestra el pobre mantenimiento que estos dispositivos suelen tener por parte de los usuarios.

Además de los routers, las cámaras de circuito cerrado o CCTV están entre los objetivos de los delincuentes. Muchas de ellas están expuestas a Internet con contraseñas débiles, vulnerabilidades explotables o sin ninguna contraseña, algo que aprovechan los criminales para controlar remotamente miles de cámaras en todo el mundo, concluye la firma.