Un troyano que roba datos bancarios duplica sus ataques durante el confinamiento

EL PAÍS

Al principio del confinamiento, los cibercriminales se especializaron en insertar contenido malicioso en URLS, mensajes o correos electrónicos con el término covid-19. Pero, según pasaron las semanas se fueron especializando y cambiaron sus técnicas de ataque. Se han descubierto varias campañas de spam maliciosas que se dedican a distribuir el troyano bancario Ursnif, un malware que se sitúa entre los cinco que más han infectado equipos de marzo a mayo en todo el mundo. Además, se dirige especialmente a las empresas, que durante la cuarentena han sufrido el doble de ataques de este tipo.

Ursnif es el troyano estrella del confinamiento. Se dirige específicamente a los PCs de Windows y es capaz de robar información financiera esencial, credenciales de correo electrónico y otros datos sensibles. “Al principio el malware se distribuía mediante falsas actualizaciones del programa Flash de Adobe, pero después se ha instalado mediante campañas de spam maliciosas utilizando archivos adjuntos de Word o Excel, en los que muchas veces hacemos clic sin plantearnos que puedan ser una amenaza”, explica Eusebio Nieva, director técnico de Check Point para España y Portugal. “Además utiliza el mismo código fuente o los mismos modelos funcionales que otros troyanos anteriores muy dañinos llamados Goki y Dreambot”, añade Nieva.

La expansión de Ursnif ha aumentado exponencialmente durante el confinamiento porque los ciberdelincuentes han preferido sacar rédito económico directo de sus ataques. “Antes del confinamiento la gente ya utilizaba sus claves para operar en la banca online, pero estos meses las empresas han necesitado multiplicar sus operaciones, tras solicitar permisos especiales al banco”, afirma José Luis Vázquez Poletti, profesor en el departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid (UCM). Este tipo de troyano copia las claves que los bancos dan a los usuarios tras insertarla varias veces. “Además de la firma digital y otros métodos de seguridad, los bancos entregan unas claves de acceso a los usuarios que el troyano guarda”, añade Vázquez Poletti.

Un troyano es un tipo de malware. Es decir, un software que tiene una función dañina. “El troyano coge ese nombre del caballo de Troya. Entra en nuestro ordenador haciéndose pasar por una cosa distinta de la que es y se oculta al usuario legítimo del ordenador. Una vez dentro puede controlar el equipo desde fuera. Puede activar la webcam para después extorsionar al usuario, robar archivos o borrar cualquier dato”, explica Vázquez Poletti.

Pero Ursnif no es el único malware que ha fastidiado a los usuarios, -y especialmente a las empresas- durante el confinamiento. Dridex, otro troyano bancario mantiene su posición dentro del los diez que más han infectado a usuarios de todo el mundo. “En España, este virus ha afectado a un 5,85% de las empresas, situándose como la principal amenaza. Seguido de otro antiguo conocido: Agent Tesla”, señala Nieva.

Los expertos en ciberseguridad recomiendan un antivirus actualizado y un poco de cabeza. “No hacer clic en correos electrónicos sospechosos o no hacer doble clic sin pensar en cualquier archivo. Para que se instale un troyano, el usuario ha tenido que darle permiso ya sea voluntaria o involuntariamente”, dice Vázquez Poletti. Hay otras formas de darse cuenta de que tenemos un troyano en el ordenador. “En el administrador de tareas del ordenador podemos ver el porcentaje del procesador que ocupa cada programa. Si el bloc de notas ocupa un 90% significa que algo va mal.”, añade Vázquez Poletti.

Minadores y ataques relacionados con la covid-19

Durante el confinamiento también se ha incrementado el uso de minadores. Son programas que usan la CPU de los equipos para procesar criptomonedas. “El llamado Xmrig es el más conocido y el que más está afectando a nivel mundial”, dice Nieva.

Además, es complicado saber si un equipo está siendo atacado por un minador. “Uno de los indicadores es que el ventilador del ordenador haga mucho ruido cuando no se está usando el equipo”, dice Vázquez-Poletti. Si nos damos cuenta, pasar el antivirus suele ser suficiente. No obstante, los expertos recomiendan precaución para evitar ser atacados por un malware. “No hacer clic en ningún archivo del que dudemos de su origen es lo más efectivo porque existen las llamadas ‘amenazas de día cero’ o de reciente creación que los antivirus aún no reconocen”, señala Vázquez Poletti.

Aunque los ataques relacionados con la covid-19 han disminuido, se ha observado un aumento del 16% en los ciberataques generales en el mes de mayo en comparación con marzo y abril, por lo que es importante que las empresas estén alerta y utilicen las herramientas y técnicas adecuadas, especialmente con el cambio masivo hacia el teletrabajo.