Cada vez que se divulga un nuevo informe sobre el estado de la ciberseguridad, obtenemos datos interesantes. Normalmente, cuando se acerca el final de año las empresas de seguridad suelen publicar (con mayor o menor acierto) sus predicciones de cara al año que está por llegar. Pero tan importantes como estas predicciones son los resúmenes que nos ayudan a entender como han ido las tendencias en ciberamenazas durante el año que dejamos atrás.
Ransomware y criptominería en declive
Especialmente interesante resulta el informe elaborado por Microsoft, principalmente debido al acceso que tiene esta empresa a los cientos de millones de sistemas Windows que le informan acerca de las amenazas a las que se enfrentan sus usuarios.
En este dossier se destacan varios puntos como son el descenso de las amenazas relacionadas con el ransomware y la minería de criptomonedas no autorizada, mientras se produce un importante aumento de los casos de phishing.
Resulta especialmente interesante el descenso en los casos de ransomware, una amenaza que en 2017 tuvo su momento álgido y que, acompañada de casos muy mediáticos como WannaCry, NotPetya o BadRabbit (que se hacían pasar por esta amenaza pero que en realidad buscaban eliminar los archivos de la víctima), parecía augurar una tendencia continuista en el número de estos ataques también para 2018.
Sin embargo, esto no fue así y el año pasado vimos como los casos de ransomware disminuían, con alguna excepción puntual. Este descenso en los casos detectados responde, por una parte, a que los grupos criminales se centraron en el minado no autorizado de criptomonedas y, por otro lado, a la tendencia a evitar llamar la atención porque se realizan ataques más dirigidos y centrados en empresas más que ataques indiscriminados.
Según este mismo informe, 2017 terminó con un notable aumento del malware relacionado con la minería no autorizada de criptodivisas, seguido de un importante descenso a principios de 2018 que fue recuperándose hasta mediados de años para luego ir cayendo de forma continua. Es bastante probable que los delincuentes se decantaran por el beneficio inmediato de la criptominería en lugar de esperar a que la víctima de un ransomware pagase el rescate.
Si lo comparamos con las detecciones de criptomineros en España, según la información proporcionada por la telemetría de ESET, vemos como en mayo se detectó el pico de actividad en nuestro país para luego ir bajando. Después repuntó ligeramente hasta finales de año y volvió a caer a principios de 2019.
Que estas dos amenazas, protagonistas indiscutibles de 2017 y 2018, se encuentren en desuso por los delincuentes no significa que hayan desaparecido completamente. Seguimos viendo campañas protagonizadas por varias familias de ransomware que en los últimos meses han ido recibiendo constantes actualizaciones y mejoras en sus técnicas de evasión. Algunas de estas familias como GandCrab han protagonizado campañas de propagación que han causado daños considerables, especialmente entre empresas.
Por lo que respecta a la criptominería no autorizada, si bien es cierto que el importante descenso del valor sufrido por estas criptodivisas durante todo 2018 y lo que llevamos de 2019 ha provocado que los delincuentes ya no la tengan tan en cuenta, también es verdad que actualmente se siguen aprovechando vulnerabilidades en sitios webs para aprovechar los recursos de aquellos que las visiten para minar estas criptodivisas.
Phishing en aumento
Tal vez el dato más interesante que sacamos del informe de Microsoft es el importante incremento de los casos de phishing detectados durante 2018 y que continua en este 2019. Esta tendencia es realmente interesante puesto que representa un regreso por parte de los delincuentes al uso de técnicas más sencillas, pero igualmente efectivas, para conseguir sus objetivos.
En España hemos visto numerosos ejemplos de casos de phishing durante los últimos meses, algunos de ellos dirigidos a usuarios principalmente españoles, por lo que podemos confirmar esta tendencia sin temor a equivocarnos. Recientemente hemos analizado casos que suplantaban la identidad de Dropbox y WeTransfer para robar las credenciales de acceso y, en ambos casos, se utilizaban técnicas clásicas de phishing, con la única salvedad de que los delincuentes se habían molestado en poner un certificado en la web fraudulenta para hacer creer a la víctima que se encontraba en la web legítima.
Además de estos casos hemos de tener en cuenta que las amenazas propagadas por correo electrónico siguen siendo tan efectivas como hace años. Así lo atestiguan campañas como la del falso presupuesto que viene repitiéndose desde hace varios meses y que han tenido como objetivos a usuarios de varios países, incluyendo a los españoles y a los portugueses, en diversas fechas.
Por si fuera poco, para maximizar la efectividad y conseguir infectar a un número mayor de usuarios, los delincuentes están utilizando vulnerabilidades conocidas en Microsoft Office como la CVE-2017-11882. Esto les permite saltarse el paso en el cual los usuarios tienen que habilitar la edición del documento para que se ejecute el código malicioso que se oculta en una macro del documento.
Mención aparte merecen aquellos correos que, sin adjuntar ningún archivo y solamente mediante el uso del engaño y la ingeniería social, intentan convencer al usuario para que pague una cantidad a cambio de no revelar información comprometida. Desde el pasado verano de 2018 hemos visto como este tipo de maniobras vienen sucediéndose de forma continuada y todos siguen la misma pauta: un supuesto vídeo y fotografías que han sido tomados sin nuestro permiso a través de la webcam mientras visitábamos sitios con contenido para adultos.
La mayoría de estos correos suelen venir en inglés pero también hemos analizado casos donde el mensaje estaba redactado, con mejor o menor acierto, en español. El gancho que están utilizando los delincuentes para tratar de convencer a los usuarios son los datos personales obtenidos a partir de las filtraciones producidas durante los últimos años, datos que suelen poner en el asunto del mensaje. Contraseñas antiguas del usuario que recibe el email o poner como remitente una supuesta cuenta de correo perteneciente al usuario o a la empresa en la que trabaja (aunque en realidad se estén utilizando técnicas de spoofing para suplantar esa cuenta) son algunas de las técnicas utilizadas en estas campañas.
Conclusión
La información revelada en el informe de Microsoft y por los análisis realizados en base a las muestras recopiladas en España durante los últimos meses demuestra una vez más que los delincuentes también se rigen por modas, concretamente por aquellas que les permitan maximizar sus beneficios y, si es posible, con el mínimo esfuerzo posible.
Por tanto, debemos ser conscientes de estas tendencias para protegernos adecuadamente ya que, en la mayoría de las veces, bastará con seguir una serie de pautas y sencillas recomendaciones para evitar caer en las trampas preparadas por los delincuentes.