Durante el último trimestre de 2016 y todo 2017 estuvimos siguiéndole la pista a una amenaza que se cebaba especialmente entre usuarios españoles. Esta amenaza con tintes de estafa tenía como peculiaridad que intentaba convencer por todos los medios al usuario de que necesitaba la ayuda de un soporte técnico para resolver problemas inexistentes en su ordenador, algo que ha ido evolucionando con el tiempo y que, actualmente y junto a las amenazas relacionadas con el minado no autorizado de criptodivisas, tiene un porcentaje de detección muy elevado con respecto a otras amenazas en el territorio español.
Evolución de una estafa conocida
Este tipo de amenazas no son nada nuevo, y tanto nosotros desde este blog como nuestro compañero de ESET David Harley en el blog oficial de la empresa llevamos casi una década hablando de ellas. Sin embargo, hasta hace apenas un par de años, este tipo de amenazas se habían centrado en usuarios de habla inglesa y las técnicas eran bastante rudimentarias (llamadas frías siguiendo un guion preestablecido).
Actualmente, este tipo de estafas han evolucionado de forma notable y ampliado sus objetivos, siendo los de habla hispana y especialmente los españoles unas de sus víctimas favoritas. Además, ya no se centran principalmente en llamar a sus víctimas, sino que suelen proporcionan un número de contacto para “ayudarlos” a resolver los problemas que se encuentran los usuarios.
La incidencia de este tipo de estafas en España fueron bastante elevadas durante la primera mitad de 2017, para descender en verano y volver con fuerza a la vuelta de las vacaciones. De hecho, si revisamos los datos de detección proporcionados por el sistema Virus Radar de ESET podemos observar que las detecciones de esta amenaza se reducen prácticamente a 0 durante los fines de semana. Esto demuestra que detrás se encuentran empresas o grupos de estafadores que tienen su horario laboral propio.
También es perfectamente posible que algunas de las múltiples empresas que estén ofreciendo este tipo de soporte técnico no sean conscientes de que se trata de una estafa, y simplemente sean contratadas para prestar este servicio a los delincuentes. De hecho, hace un par de meses se confirmó una sentencia en Ohio (EE.UU.) que impedía a una empresa involucrada en este tipo de estafas el prestar servicios de soporte técnico.
Funcionamiento de esta amenaza
Hasta no hace mucho, la mayoría de estos incidentes comenzaban con una web en el navegador (que quedaba normalmente bloqueado por esta acción) mostrando un mensaje de alerta provocado por un supuesto fallo en el sistema o una falsa infección. Estos mensajes eran bastante escuetos y no aportaban mucha información para, precisamente, convencer al usuario de la necesidad de llamar a un número de teléfono, para que un supuesto técnico se conectase remotamente a su sistema y solucionase sus problemas por un elevado precio.
Sin embargo, desde hace unos meses venimos observando variaciones de esta técnica, que tienen como finalidad hacerla más convincente. La mayoría de estas ventanas de alertas falsas provienen ahora de campañas de anuncios maliciosos que están siendo lanzadas desde sitios web legítimos comprometidos. Además, los esfuerzos realizados por los delincuentes para tratar de bloquear el navegador hace que muchos usuarios caigan en esta trampa.
Por ejemplo, se ha observado casos recientes en los que se generan pestañas en el navegador de forma constante con la misma alerta y se impide el cierre del navegador, provocando que el usuario se quede atrapado entre ellas. Otra técnica reciente implica el abuso de una API que consigue congelar el navegador, provocando que los usuarios se asusten y llamen al número que aparece en pantalla en busca de ayuda.
En la siguiente animación se puede observar el efecto final en una de las versiones más recientes de Chrome, y que llega a consumir el 100% de la CPU haciendo que el sistema se quede congelado.
La forma en que esto se consigue es sencilla pero efectiva a la vez, y consiste en lanzar cientos de descargas al mismo tiempo para provocar la saturación del navegador y de los recursos del sistema. El principal objetivo de los delincuentes es el navegador Google Chrome debido a su elevada cuota de mercado, aunque también existen versiones para otros navegadores que se aprovechan de las API HTML propias.
Para evitar este tipo de amenazas, además de contar con un antivirus que sea capaz de detectarlas, se puede utilizar tanto un bloqueador de anuncios como alguna de las extensiones que evitan que se ejecute código JavaScript de forma automática (algo que también es muy efectivo contra el minado de criptodivisas no autorizado).
Impacto en España
Tal y como ya hemos indicado, España es uno de los países más afectados por este tipo de estafas, y durante varios meses hemos estado en la primera posición por detecciones de este tipo de amenazas según la información proporcionada por ESET Virus Radar. Esto resulta especialmente relevante, ya que, en esta ocasión, los estafadores no se centran en buscar a sus víctimas por el idioma que hablan, sino por el país en el que viven.
El bajo impacto que esta amenaza ha tenido en Latinoamérica no hace más que corroborar está afirmación, y además, tras una investigación en la que nos hicimos pasar por usuarios afectados, pudimos comprobar como el “técnico” que nos atendió hablaba un perfecto español pero con acento latinoamericano. Algo similar pasa con los casos de falso soporte técnico en inglés, donde la mayoría de operarios que atiende las llamadas de los usuarios preocupados se encuentran ubicados en la India.
El número de detecciones en España ha ido variando notablemente en los últimos meses, empezando muy fuerte durante el primer trimestre de 2017 y bajando durante los meses de verano para recuperarse con la vuelta de las vacaciones, y manteniéndose la tasa de detecciones en un valor bastante estable desde entonces, solo superado por las detecciones relacionadas con el minado no autorizado de criptodivisas.
El alto índice de detecciones de esta amenaza en nuestro país demuestra que los delincuentes han encontrado un filón entre los usuarios españoles y no es difícil encontrar usuarios que comentan que han sufrido este tipo de incidentes. Muchos de ellos son usuarios de avanzada edad que, ante la imposibilidad de cerrar el navegador, la alarma generada en su pantalla y los pocos conocimientos informáticos de los que disponen, caen en las redes de estos estafadores y terminan pagando por un soporte técnico que no es tal.
Conclusión
Como acabamos de ver, esta estafa que ya tiene bastantes años sigue consiguiendo víctimas entre los usuarios más desprevenidos o con poca formación. A diferencia de un ransomware, es relativamente fácil eliminar este tipo de ventanas con falsas alarmas, y además los archivos del sistema no son afectados por estas amenazas (a menos que el falso técnico con el que contactemos quiera modificarlos).
La principal causa del éxito de este tipo de amenazas es el desconocimiento y la falta de formación y concienciación. Por eso es importante recordar su impacto en países como España, y ayudar a concienciar a los usuarios más vulnerables a estar atentos frente a esta y otras amenazas que puedan afectarles para que sepan cómo reaccionar.