BARÓMETRO ESET NOD32: España, foco de varios ciberataques en noviembre

  • Correos electrónicos suplantando la identidad de organizaciones reales y archivos Torrent de descarga de películas o series afectan a miles de usuarios en nuestro país
  • Las fugas de datos de la cadena hotelera Marriot, y las amenazas al mercado de las criptodivisas, protagonizan también los incidentes del mes

Madrid, 4 de diciembre de 2018. – El pasado mes de noviembre se ha caracterizado por varias amenazas y ataques importantes, según ESET , el mayor fabricante de software de seguridad de la Unión Europea. España suele estar entre los países favoritos de los cibercriminales, pero no es tan frecuente ver campañas tan cercanas en el tiempo.

El primer caso de campaña dirigida principalmente a España y, en mucha menor medida, a Portugal, utilizaba un falso presupuesto adjunto a un email como vector de ataque. Los remitentes de estos emails fingían pertenecer a empresas legítimas, aunque aún no ha quedado del todo claro si los atacantes estaban suplantando su identidad o si realmente habían conseguido tomar el control de alguna de sus máquinas o servidores de correo. Estos presupuestos venían presentados supuestamente como documentos de Excel pero lo que en realidad pretendían era aprovecharse de una vulnerabilidad con un año de antigüedad para descargar y ejecutar una herramienta de espionaje y control remoto. En caso de que el sistema tuviese esa vulnerabilidad corregida mediante un parche, los delincuentes también han incluido un método para sortearlo.

Otra campaña de propagación de malware está protagonizada por falsos archivos con extensión .torrent que suplantan a enlaces a populares películas, series y aplicaciones subidas a conocidas webs de descargas. Esta campaña intensificó su actividad a mediados de año y en noviembre ha alcanzado el máximo anual en número de detecciones. Los delincuentes utilizan un método simple y efectivo como es la utilización de archivos con doble extensión. De esta forma, los usuarios piensan que se están descargando un fichero tipo Torrent cuando en realidad están bajando un script o código malicioso VBE. Este código se conecta a unos centros de mando y control, y descarga a su vez malware con un objetivo claramente económico, es decir, instalando ransomware, mineros de criptomonedas o robando carteras de criptomonedas.

“Este tipo de incidentes tan orientados a los usuarios de un país en concreto demuestra que los delincuentes también obtienen beneficios dirigiendo sus amenazas en lugar de intentar llegar al mayor número posible de víctimas” comenta Josep Albors, responsable de Investigación y Concienciación de ESET España.

Fugas de datos en grandes empresas
A finales de mes se conoció uno de los incidentes de seguridad más graves de lo que llevamos de año relacionado con la privacidad de los datos de usuarios almacenados por una empresa. Hasta 500 millones de perfiles de usuarios habrían sido robados de la base de datos de reservas de la filial de la cadena hotelera Marriot, Starwood que gestiona diversas marcas hoteleras como Sheraton Hotels o Westin, entre otros. Además, los ciberdelincuentes han sustraído los datos de las tarjetas de crédito con el que realizaron sus reservas unos 327 millones de clientes. A pesar de que éstos se encuentran cifrados, se desconoce si los atacantes habrían conseguido también los componentes necesarios para descifrarlos.

La cadena hotelera tiene constancia del acceso no autorizado a su base de datos desde el pasado 8 de septiembre, pero no fue hasta el 30 de noviembre cuando lanzó un comunicado donde alertaba de esta brecha de seguridad en sus sistemas. Tras realizar una investigación, se detectó que el cibertataque se estaría realizando desde 2014, hecho que explicaría el elevado número de usuarios afectados.

Por su parte, la empresa informática Dell también alertó el día 28 de una posible filtración de datos de clientes registrados en su portal dell.com el pasado 9 de noviembre. Según un comunicado oficial de la empresa norteamericana, los atacantes habrían intentado obtener datos confidenciales tales como nombres, emails y contraseñas cifradas. A pesar de no haberse comprobado la efectividad del ataque, la empresa decidió resetear las contraseñas de los usuarios del portal afectado y recomendó a sus usuarios que cambiasen sus claves si las habían reutilizado en otros sitios online.

Crisis en las criptodivisas
Aunque noviembre ha sido un mes negro para las criptodivisas porque han sufrido una pérdida considerable de su valor, los delincuentes siguen desarrollando amenazas orientadas a conseguirlas. Un ejemplo de los ataques a este sector es el que sufrió a principios de noviembre la web de cambio de criptomonedas gate.io. Los atacantes consiguieron comprometer la seguridad de StatCounter, una conocida plataforma que ofrece datos estadísticos, e introducir un script malicioso que, aplicado en la web de gate.io, redirigía las transferencias de criptomonedas a una cuenta controlada por los atacantes. Afortunadamente para los usuarios de esta web, el script malicioso fue retirado pocos días después. Además, se ha de tener en cuenta la utilización de dispositivos del llamado Internet de las Cosas, como por ejemplo una smartTV, para el minado de criptomonedas. En este sentido ESET ha desarrollado un producto específico para evitar este tipo de vulnerabilidades.

Como noticia positiva para terminar este resumen destacamos que fuerzas policiales de diversos países, en colaboración con empresas de seguridad como ESET, han conseguido desmantelar las operaciones de una importante red de fraude en anuncios online a nivel mundial. Los delincuentes utilizaban redes botnet para simular clics en anuncios mostrados por anunciantes y generar así un beneficio que iba a parar a sus arcas sin que las víctimas estuvieran al tanto de lo sucedido.