El mes de julio es sinónimo de vacaciones, descanso y relax para muchos, palabras que no parecen estar en el diccionario de algunos ciberdelincuentes si nos atenemos a los incidentes que hemos analizado durante el mes pasado. También es verdad que este ha sido un mes de julio atípico, con una cita electoral en pleno verano sin precedentes en España, lo que ha provocado varios ciberataques a empresas y organismos públicos por grupos de activistas prorrusos.
Ciberataques vinculados con la cita electoral
Tal y como está la situación geopolítica actual, con la guerra en Ucrania ocupando todavía buena parte de la actualidad informativa, era de esperar que un evento tan importante como son unas elecciones generales en España despertase el interés de grupos prorrusos para tratar de hacerse notar y tratar de poner en evidencia a las instituciones y empresas de nuestro país.
No obstante, estos ataques se limitaron a dejar inaccesibles ciertas páginas web durante periodos de tiempo que iban desde unos pocos minutos a varias horas, usando para ello ataques de denegación de servicio. Este tipo de ataques, aunque sencillos de ejecutar, pueden causar serios problemas a las empresas atacadas, especialmente si estas dependen de un portal de acceso para que sus clientes o usuarios puedan operar con ellas.
Así pues, durante la misma jornada electoral del pasado 23 de julio, varias webs institucionales como la de la Moncloa, la Junta Electoral, el Ministerio del Interior o el Instituto Nacional de Estadística, junto con otras pertenecientes a empresas de transportes como Metro de Madrid o los Transportes Municipales del Área Metropolitana de Barcelona, sufrieron este tipo de ataques y estuvieron inaccesibles durante algún tiempo.
Unas horas después eran medios de comunicación como las webs de los periódicos ABC, El Mundo o Expansión los que sufrían problemas técnicos derivados de estos ataques, lo que provocó que algunos usuarios tuvieran problema a la hora de autentificarse con sus credenciales y provocando la desactivación temporal en algunos medios de aquellas noticias que requieren registro previo.
Por último, operadoras de telefonía como Telefónica, Orange y MásMóvil también fueron víctimas de estos ciberataques durante los días posteriores a la celebración de las elecciones generales. En el caso de Telefónica y Orange el impacto fue mínimo, debido a que bien los atacantes no eligieron correctamente las webs objetivo o bien se activaron las medidas de seguridad establecidas para mitigar estos ataques. Tan solo el grupo MásMóvil tuvo algunos de los sitios web de sus marcas caídos durante varias horas, algo que coincidió con la presentación de resultados de la compañía.
El responsable de estos ciberataques es el grupo Noname057, quien, a lo largo de varios días y usando su canal de Telegram, informó de los ataques que iban lanzando y de los objetivos que iban cayendo. Si bien los ataques DDoS no son especialmente complicados y pueden ser mitigados con servicios antiDDoS existentes en el mercado, es posible obtener éxito y tumbar webs gubernamentales y corporativas si no se han configurado y probado adecuadamente estos mecanismos de defensa.
Phishing con temática estival
Casi cualquier tema es bueno para lanzar una nueva campaña de phishing, y las vacaciones son una excusa perfecta para ello. Durante los últimos años hemos visto como los delincuentes han suplantado la identidad de aerolíneas y reservas de hoteles, entre otras, sin ningún problema y este año no iba a ser menos. Así pues, hemos observado emails donde se indicaba la confirmación de reservas de hotel supuestamente a nuestro nombre que eran usadas para redirigirnos a webs donde se solicitaban credenciales de acceso a nuestra cuenta de correo.
Otro caso de suplantación típico es el de la notificación de entrega de paquetes, actividad que se incrementa por estas fechas coincidiendo con el inicio de las rebajas de verano. Sin embargo, este año las protagonistas han sido las campañas que suplantan a Correos, debido también al voto por correo en las elecciones generales, lo que ha hecho que no pocos usuarios cayeran en las trampas preparadas por los delincuentes, ya sea a través de emails o mensajes SMS.
Tampoco debemos olvidar los clásicos correos dirigidos especialmente a los departamentos de ventas y administración con supuestas facturas, y que adjuntan enlaces para redirigir al usuario a sitios web donde tratan de engañarlo para que introduzca las credenciales de su correo corporativo. Se trata de una estrategia antigua pero que sigue funcionando muy bien hoy en día.
Infostealers, la plaga que no cesa
Los infostealers o ladrones de información continúan siendo una de las categorías de malware más detectadas en España, algo que hemos podido comprobar durante el pasado mes de julio. En esta categoría hacemos distinción entre aquellas amenazas que van dirigidas al usuario doméstico, como los troyanos bancarios, y las que se dirigen a empleados de empresa, encabezadas por las amenazas que roban credenciales de acceso al correo electrónico y otros servicios.
En lo que respecta a los troyanos bancarios, continuamos observando varias muestras de este tipo de amenazas provenientes de Latinoamérica, como son los troyanos Grandoreiro o Mekotio. Hace años que los delincuentes detrás de estas campañas empezaron a poner a los usuarios españoles en sus puntos de mira y, desde entonces, han ido perfeccionando sus tácticas, aunque los asuntos usados en sus correos siguen siendo muy parecidos y suelen hacer referencia a pagos y facturas pendientes.
Por otra parte, tenemos aquellas amenazas más centradas en entornos corporativos, que tratan de engañar a los empleados para que ejecuten un fichero adjunto o que se descarga desde un enlace para empezar a recopilar contraseñas de correo, VPNs, contraseñas almacenadas en navegadores y muchas otras aplicaciones de uso cotidiano en casi cualquier empresa.
En España estas campañas suelen estar protagonizadas por dos familias de malware como son Agent Tesla y Formbook, aunque también hay otras amenazas similares operando en nuestro país, como puede ser el caso de Strela Infostealer. A pesar de que sus tácticas son sobradamente conocidas y suelen implicar el uso de emails con supuestas facturas, presupuestos, órdenes de pago y similares, aún son muchos los usuarios que caen en estas trampas.