La continuidad marca la evolución de las amenazas en el mes de marzo

  • Seguridad

El ransomware y los troyanos bancarios siguen siendo las principales amenazas de seguridad. Al menos así ha sido durante el mes de marzo y así lo ha reflejado Eset en su último informe de ciberseguridad. También dedica un apartado especial a las vulnerabilidades encontradas en Exchange, iOs y Chrome, así como a las estafas relacionadas con las vacunas falsas.

Recomendados: 

Demostración de un ataque dirigido a entornos OT Webinar

Ciberseguridad industrial, protegiendo las redes IT y OT Leer 

Ciberseguridad orientada al futuro Leer 

Para Eset, el ransomware sigue siendo probablemente la amenaza más peligrosa a la que se enfrentan las empresas de todos los tamaños actualmente, mientras que los troyanos bancarios continúan obteniendo nuevas víctimas entre los usuarios particulares. En su barómetro de seguridad del mes de marzo, la firma de seguridad destaca que el ciberataque sufrido por el SEPE a principios de mes ha sido el incidente de ciberseguridad más comentado durante las últimas semanas en España, y subraya que “aún a día de hoy se desconoce el alcance total que tuvo este ciberataque o si los atacantes consiguieron obtener información confidencial desde los sistemas que consiguieron infectar”.

No fue el único ataque de este tipo porque el Área Metropolitana de Barcelona también sufrió un ataque similar a mediados de mes y, posteriormente, el Ayuntamiento de Castellón experimentó uno de estos incidentes que dejó bloqueado su sistema informático, impidiendo a los usuarios acceder a la página web municipal y a servicios como la sede electrónica o el portal tributario.

En lo que respecta a los troyanos bancarios dirigidos a usuarios Android, los laboratorios de la compañía de seguridad subrayan que, desde finales del año pasado, se han visto muchos ejemplos de campañas realizadas mediante mensajes SMS que se hacen pasar principalmente por empresas de logística como Correos, DHL, FedEx o, más recientemente, MRW, aunque los delincuentes también han suplantado la identidad de otras empresas sin relación con este gremio.

La finalidad de estos mensajes es convencer al usuario para que pulse sobre el enlace proporcionado y redirigirle a una web especialmente preparada desde la que se descarga una aplicación para, supuestamente, realizar el seguimiento de su envío. Sin embargo, lo que se descarga en el dispositivo es en realidad una amenaza con varias funcionalidades y que permite a los delincuentes obtener las credenciales de acceso a la entidad bancaria y a los mensajes de confirmación para realizar transferencias de dinero desde la cuenta de la víctima.

Además del uso de las empresas de logística como gancho, durante el pasado mes de marzo los ciberdelincuentes usaron supuestas actualizaciones del sistema Android y del navegador para conseguir atraer a las víctimas a las webs de descarga de las apps maliciosas.

Por su parte, los troyanos bancarios dirigidos a usuarios de Windows y provenientes de Latinoamérica han seguido realizando sus campañas mediante emails suplantando, por ejemplo, a la DGT, a la Seguridad Social o usando la plantilla del burofax online. Desde el laboratorio de Eset también se observó cómo algunos de los dominios registrados por los delincuentes para alojar sus amenazas suplantaban a dominios legítimos usados por los servicios de salud en algunas Comunidades Autónomas.

Principales vulnerabilidades
El informe también destaca la forma en la que los ciberdelincuentes se han aprovechado de las vulnerabilidades en Exchange, Chrome y Apple. En lo que respecta a las primeras, cuyos parches ya están disponibles desde el 2 de marzo, permiten a un atacante tomar el control de cualquier servidor Exchange accesible desde Internet sin ni siquiera conocer las credenciales de una cuenta válida. “A pesar del relativamente rápido ritmo de aplicación de los parches de seguridad, no fueron pocos los delincuentes que trataron de aprovecharse de la situación, incluyendo numerosos grupos APT, y varios miles de servidores fueron comprometidos”, han señalado los expertos de la firma de seguridad.

Google se vio obligada también a publicar dos actualizaciones importantes con pocos días de diferencia para corregir vulnerabilidades zero-day del navegador Chrome que estaban siendo aprovechadas activamente por los atacantes y, en una situación parecida se encontró Apple, quien tuvo que lanzar una actualización de emergencia para los usuarios de sus dispositivos con sistema operativo iOS y que afectaba a varios modelos de iPhone, iPad o Apple Watch.

A finales de mes, fue noticia también el repositorio Git oficial del lenguaje de programación PHP había sido comprometido por atacantes. Estos habrían conseguido modificar el código fuente para incluir una puerta trasera, aunque estas modificaciones fueron detectadas antes de que entraran en producción.

Estafas relacionadas con vacunas falsas
En lo que respecta a aquellas amenazas relacionadas con la suplantación de identidad y las estafas, durante marzo varias autoridades alertaron de estafas que ofrecían vacunas falsas contra el coronavirus a cambio de criptomonedas. Con millones de personas esperando su turno en el proceso de vacunación que se está llevando a cabo en varios países, los delincuentes han visto su ventana de oportunidad para ganar dinero de forma sencilla a costa de la necesidad de muchas personas.

Finalmente, el informe subraya también que se han producido casos de phishing más tradicionales, como suplantaciones de identidad de entidades financieras y casos de phishing que utilizaban a empresas de logística para robar datos de tarjetas de crédito.