La pandemia mundial esta siendo explotada por los cibercriminales, quienes están aprovechando el entorno de incertidumbre de la gente y el cambio en los modelos de trabajo para llevar a cabo sus actividades criminales.
El teletrabajo ha incrementado el riesgo de utilizar herramientas tecnológicas vulnerables, como VPN’s, servicios de video-conferencias, equipos de cómputo caseros, tablets, enrutadores de internet caseros, etc. Por esta razón, los criminales están enviando sus ataques a personas independientes y a grandes corporativos.
Los cibercriminales se ocultan en la pandemia como fuentes confiables de información y generan ataques por medio de correos de phishing y aplicaciones maliciosas que buscan robar información, realizar espionaje y robo de credenciales. De la misma forma buscan lucrar mediante el envío e instalación de ransomware y otros tipos de malware.
Los principales ataques registrados por Cybersecurity and Infrastructure Security Agency (CISA), el United Kingdom’s National Cyber Security Centre (NCSC) y jugadores de la industria, son:
- Phishing utilizando encabezados o tópicos del Coronavirus o COVID-19.
- Distribución de malware por medio de temas de Coronavirus o COVID-19.
- Registro de dominios que contienen palabras relacionadas con Coronavirus o COVID-19, se estima que a la fecha se han abierto más de 20,000 y alrededor del 20% son maliciosos.
- Ataques directos contra infraestructura de acceso remoto y teletrabajo.
Los cibercriminales están aprovechando la situación de la gente para realizar ingeniería social y obtener beneficios de sus ataques, por ejemplo, mandan links para bajar aplicaciones que contienen supuesta información actualizada del estatus del COVID-19 o links para ir a alguna página de internet y que, al entrar, descargan malware o ransomware.
Otro ejemplo, una aplicación para Android dice que provee seguimiento en tiempo real del Coronavirus y cuando el usuario la descarga le da acceso total para instalar el ransomware denominado “CovidLock” en el dispositivo. (Para mayor referencia: https://www.techrepublic.com/article/covidlock-ransomware-exploits-coronavirus-with-malicious-android-app/ )
Se debe tener mucho cuidado en que correos se abren, que aplicaciones se descargan, a que páginas web se entra, que links seguimos, etc.; ya que los cibercriminales crean engaños basándose en fuentes auténticas para pasar desapercibidos, pueden venir con referencias de la Organización Mundial de la Salud (OMS), del Gobierno, de la Secretaría de Salud y, en casos más sofisticados, como correos del área de recursos humanos del mismo negocio o de algún familiar.
Dado el incremento en el uso de dispositivos móviles, también están mandando ataques por medio de phishing de SMS e incluso WhatsApp, en estos mensajes mandan información sobre el avance del COVID-19, promociones sobre servicios locales (por ejemplo entregas a domicilio de alimentos o insumos), beneficios gubernamentales o bancarios derivados de la pandemia (por ejemplo: promociones de bancos para diferir pagos o beneficios del gobierno para afectados); en ellos viene una liga para acceder al beneficio, que regularmente abre una página web, con un look&feel similar al que conocemos de dicha fuente, y donde nos piden capturar nuestros datos personales o financieros para acceder al beneficio; así pueden descargar piezas de malware en nuestros equipos o robar información personal, credenciales, datos bancarios, etc.
De la misma manera, existen cientos de correos de phishing que solicitan descargar o abrir algún archivo con información de interés como listas de materiales y costos para insumos de protección de COVID-19, relaciones de hospitales de atención, listas de médicos disponibles, etc., que al abrirse o descargarse instalan keyloggers , malware, trojanos, etc.
Para el caso de la infraestructura para trabajo remoto y teleconferencias, los atacantes están aprovechando las vulnerabilidades públicas de sistemas conocidos como CITRIX, PaloAlto, Fortinet, etc., y que no han sido remediadas adecuadamente. Así mismo, usan correos de phishing para distribuir archivos maliciosos por medio de supuestas “sesiones” de Zoom o MS Teams y también atacan sesiones activas que no tienen configurados de forma adecuada los parámetros de seguridad.
Por lo anterior recomendamos más que nunca, asegurar que los usuarios tienen programas constantes de concientización sobre los posibles riesgos y tipos de trampas que usan los cibercriminales con el objetivo de no caer en ellas, que los equipos personales y móviles cuenten con programas actualizados de antimalware, que toda la infraestructura crítica para el modelo actual de operación del Negocio, se encuentre protegida y actualizada respecto a parches y vulnerabilidades, que se revise y actualice el hardening en equipos y que se valide el uso adecuado de políticas y procedimientos de seguridad establecidos.
Luis Adrián Gómez
CEO Cybolt