El auge de las criptomonedas atrae a los ciberdelincuentes

Madrid, 12 de diciembre de 2017.- Numerosos incidentes y vulnerabilidades han protagonizado el mes de noviembre, lo que, sumado a la gran cantidad de eventos y conferencias sobre ciberseguridad, han convertido a este mes en uno de los más trepidantes del año.

Aumentan los ataques a las criptodivisas

Con el bitcóin y otras criptomonedas marcando máximos históricos, no es de extrañar que los delincuentes hayan incrementado sus ataques para conseguir robar el máximo número posible de estas divisas electrónicas. De hecho, durante las últimas semanas, desde el laboratorio de ESET España se han observado escaneos masivos en busca de las carteras donde los usuarios almacenan sus criptomonedas. “Si un ciberdelincuente detecta que algún usuario dispone de uno de estos archivos utilizados para almacenar estas divisas electrónicas, es muy probable que intente robársela de algún modo como, por ejemplo, accediendo remotamente a su sistema”, explica Josep Albors, responsable de concienciación e investigación en ESET España.

Pero no solo los usuarios son el objetivo de estos ataques. Los delincuentes también tienen en su punto de mira a las aplicaciones que se usan como carteras electrónicas y a los servicios de cambio de criptodivisas. Un ejemplo lo tenemos en CoinPouch, que el mes pasado fue víctima de un ataque que provocó pérdidas de alrededor de 655.000 dólares en la criptomoneda Verge debido a un fallo de seguridad en la aplicación. Esa cantidad palidece ante los 280 millones de dólares en Ether que fueron bloqueados accidentalmente por un usuario a principios de noviembre. Como resultado de la eliminación de una librería crítica del código, se bloquearon los fondos, impidiendo a sus propietarios acceder a ellos.

“Pero lo que realmente se está convirtiendo en una plaga son aquellas páginas web que minan criptodivisas aprovechando los recursos de los usuarios sin pedirles permiso”, afirma Albors. Hasta hace unos meses esta técnica tan solo se había visto en un puñado de webs pero, actualmente supone un verdadero problema puesto que reduce notablemente el rendimiento del sistema mientras navegamos.

Amenazas en Android y Apple

Los usuarios del sistema operativo Android sufrieron una nueva variante del troyano bancario Bankbot. En esta ocasión, los delincuentes confiaban en que sus víctimas permitiesen su instalación desde orígenes desconocidos, otorgándole permisos de administrador para poder descargar el malware. Este código malicioso se ocultaba en otro tipo de aplicaciones como linternas, para no levantar sospechas.

Desde los laboratorios de ESET también se analizó un tipo de malware para Android, identificado como Android/TrojanDropper.Agent.BKY que intentaba pasar desapercibido instalando sus componentes de forma modular, en diferentes fases. En las etapas iniciales, las aplicaciones usadas no solicitaban ningún tipo de permiso adicional, pero en períodos posteriores se descargaban nuevas aplicaciones camufladas, por ejemplo, como actualizaciones de Android y Adobe. Es en esta fase final donde los delincuentes conseguían descargar y ejecutar un malware que, en las muestras analizadas, consistía en un troyano bancario.

Además, si juntamos este tipo de técnicas con una aplicación muy popular como WhatsApp, tenemos como resultado un cóctel explosivo que puede conseguir un elevado número de víctimas en poco tiempo. Alrededor de un millón de usuarios cayeron en la trampa de la falsa app de WhatsApp que, durante un tiempo estuvo disponible en Google Play. Este falso instalador de WhatsApp descargaba una segunda aplicación maliciosa que se instalaba en el sistema de la víctima sin que esta sospechase nada.

Por su parte, una de las noticias del mes (y de lo que llevamos de año) fue el descubrimiento de un fallo en la versión más reciente de MacOS High Sierra. Este fallo permitía conseguir acceder como root al sistema proporcionando este nombre de usuario y dejando el espacio de la contraseña en blanco, pulsando varias veces sobre el botón de “login”.

Malware y robo de datos

Como viene siendo tradicional, noviembre también tuvo su correspondiente robo de datos protagonizado por el conocido sitio web de compartición de imágenes Imgur. Si bien el incidente se produjo en 2014, no fue hasta el mes pasado cuando supimos que los datos de 1,7 millones de sus usuarios habían sido comprometidos.

Desde el laboratorio de ESET también observamos cómo regresaba una estafa bastante clásica pero que ha cosechado buenos resultados: los delincuentes se encargaron de posicionar en los primeros puestos de las búsquedas de Google una versión falsa de Windows Movie Maker (abandonado por Microsoft a principios de 2017) con la finalidad de obtener dinero de usuarios desprevenidos.

El uso de terceros de confianza para propagar malware es una técnica que está siendo utilizada cada vez más por los delincuentes. Buena prueba de ello fue el caso de la popular web de emisión de anime en streaming Crunchyroll, que durante unas horas estuvo distribuyendo malware entre los usuarios que accedían a su web y descargaban un supuesto reproductor multimedia. Investigaciones posteriores desvelaron que el malware descargado era un keylogger, “pero lo realmente peligroso es que podría haberse tratado de cualquier otro tipo de malware y la cantidad de víctimas potenciales era muy elevada”, advierte el responsable del laboratorio de ESET España.

En España, además, fue noticia la desactivación temporal de la firma digital incorporada en el Documento Nacional de Identidad al descubrirse fallos de seguridad en el mismo. La vulnerabilidad que también afectaba a otras tarjetas inteligentes de todo el mundo, permitía conocer la clave privada almacenada en el chip que lleva este documento. La Policía Nacional solucionó la vulnerabilidad y aseguró que el número de afectados potenciales fue mínimo.