Resumen amenazas marzo 2024

Durante el pasado mes de marzo en España hemos observado tendencias interesantes en lo que respecta al cibercrimen, especialmente en aquellas orientadas a engañar a los usuarios para robarle datos confidenciales o, directamente, estafarle. Esto continúa la tendencia de los meses anteriores y, posiblemente, también observemos las mismas tendencias en los meses venideros, aunque con la capacidad de adaptación de los cibercriminales y el perfeccionamiento de las estafas y fraudes, no debemos bajar la guardia.

Ofertas de empleo y famosos son los cebos favoritos de los estafadores

Cuando los delincuentes encuentran un asunto que usar como gancho y les funciona razonablemente bien, no dudan en explotarlo hasta la saciedad. Buena prueba de ello lo tenemos en las estafas que usan la imagen de famosos españoles (aunque en otros países hacen lo propio) para anunciar supuestas inversiones en criptomonedas.

Durante los últimos años hemos visto como estas campañas han cambiado su tono, campañas que empezaron siendo una noticia supuestamente informativa donde se usaba la imagen de una o varias celebridades sin su permiso para proponer métodos de enriquecimiento rápido. A estas campañas se le unieron hace meses otras más agresivas, donde aparecían de nuevo los famosos españoles, pero, en esta ocasión, siendo detenidos tras revelar en una supuesta entrevista el método definitivo para hacerse rico.

El aumento y perfeccionamiento de estas campañas ha sido especialmente considerable desde finales de verano de 2023, cuando empezaron a aparecer vídeos realizados con inteligencia artificial y que mostraban a todo tipo de presentadores de informativos y personas importantes o conocidas recomendando estas inversiones en criptomonedas, vídeos que cada vez resultan más convincentes.

Sin embargo, las campañas que más difusión han tenido durante las últimas semanas son las que tienen como protagonistas a David Broncano y Carlos Sobera, las cuales se han difundido principalmente en redes sociales como Twitter, Facebook o Instagram. Todas ellas tienen como finalidad captar la atención de los usuarios con llamativos titulares y fotografías retocadas para, seguidamente, redirigirlos a webs fraudulentas de inversiones en criptomonedas. Es en estas webs donde algunos usuarios, atraídos por la supuesta alta rentabilidad, transferirán dinero desde sus cuentas para perderlo para siempre en la gran mayoría de ocasiones.

Además de esta conocida estafa, durante marzo también detectamos una variación del timo de la oferta de empleo. En esta ocasión, en lugar de ofrecernos una interesante oferta de empleo desde casa usando un correo electrónico o un mensaje de WhatsApp, los delincuentes se ponen en contacto con las víctimas mediante una llamada telefónica con un mensaje grabado en el que se ofrece un empleo en TikTok.

Si el usuario quiere recibir más información de esta oferta de empleo debe contactar con los delincuentes usando la cuenta de WhatsApp asociada al teléfono del cual han recibido la llamada. Es importante destacar que el teléfono usado por los delincuentes en esta campaña esta suplantando el número de un teléfono legítimo, por lo que, a simple vista, nos parecerá estar recibiendo una llamada legítima.

Tras contactar con los delincuentes mediante WhatsApp, estos explican a la víctima que el trabajo consiste en dar “likes” a publicaciones en TikTok, pero para poder cobrar por esta acción es necesario seguir la conversación en la plataforma Telegram. Este tipo de estafas consisten en realizar las tareas que nos van encomendando e ir acumulando un supuesto saldo a nuestro favor. Sin embargo, a la hora de retirarlo se presentará algún problema y nos indicarán que, para poder retirar el dinero, se debe subir el nivel de afiliado, para lo que tendremos que enviarles cierta cantidad de dinero. Obviamente, este dinero no lo vamos a recuperar e incluso es posible que la víctima envíe más dinero a los estafadores si estos consiguen engañarle haciéndole pensar que, cuando más dinero les envíe, más posibilidades tendrá de aumentar sus beneficios al subir de nivel dentro de la supuesta estructura organizativa.

Continúa el malware especializado en el robo de datos

Desde hace años, los ciberdelincuentes saben lo valiosos que son nuestros datos, especialmente si pueden obtener un beneficio económico directo con ellos. Por ese motivo no es extraño que marzo haya sido otro mes en el que las amenazas especializadas en el robo de información hayan predominado.

Por un lado, tenemos las campañas que utilizan mensajes SMS para propagarse suplantando la identidad, por ejemplo de la Dirección General de Tráfico. En estos mensajes se nos indica que tenemos una infracción pendiente de pago, para lo cual nos facilitan un enlace que se hace pasar por uno legítimo de la DGT.

Al acceder a la web fraudulenta observamos que copia el diseño de la legítima y nos solicita datos personales que incluyen nombre, apellidos, dirección postal, email y número de teléfono. Sin embargo, los delincuentes andan detrás de algo que les resulta mucho más rentable: los datos de nuestra tarjeta de crédito para cargar pagos fraudulentos sin permiso del usuario.

Las empresas tampoco se libran de este tipo de amenazas y los ladrones de información han seguido muy activos durante las últimas semanas. Buen ejemplo de ello lo tenemos en las continuas campañas de correos electrónicos maliciosos con supuestas facturas, presupuestos o documentos de todo tipo dirigidos especialmente a departamentos de administración de las empresas.

En estos correos se nos invita a abrir los documentos adjuntos que contienen el malware de primera fase que inicia la infección. Dicha infección suele terminar con la instalación de alguna herramienta maliciosa de control remoto, que permite a los atacantes robar información como credenciales almacenadas en aplicaciones de uso cotidiano para usarlas en posteriores ataques.

Precisamente, España es uno de los países donde más se han detectado este tipo de actividades maliciosas según una investigación reciente de ESET sobre el malware AceCryptor. Este malware se utilizó para atacar varios países europeos y extraer información u obtener acceso inicial a varias empresas. En estos ataques, el malware se distribuyó en mensajes de spam, que en algunos casos eran bastante convincentes, e incluso el spam se llegaba a enviar desde cuentas de correo electrónico legítimas, pero utilizadas indebidamente.

Vulnerabilidades importantes

Como viene siendo habitual, todos los meses se descubren vulnerabilidades en sistemas operativos y aplicaciones de todo tipo. Marzo no ha sido la excepción, y aunque muchos de estos agujeros de seguridad se hacen públicos cuando se publican los parches que los solucionan, a veces estas actualizaciones también traen problemas. Un buen ejemplo fueron las actualizaciones de emergencia que tuvo que publicar Microsoft, para solucionar un problema que provocaba que los controladores de dominio de Windows se bloquearan tras instalar las actualizaciones de seguridad de Windows Server del pasado 13 de marzo de 2024.

También fue noticia el descubrimiento de un agujero de seguridad crítico en Facebook que permitía a un atacante secuestrar cuentas de esta red social. Los investigadores descubrieron que el problema afectaba al procedimiento de restablecimiento de contraseña de Facebook, específicamente cuando el usuario seleccionaba la opción «Enviar código mediante notificación de Facebook».

Casi terminando el mes, cuando muchos ya se encontraban en plena Semana Santa, salió a la luz la existencia de una puerta trasera en las últimas versiones de la librería de compresión de datos XZ Utils, usada por algunas de las principales distribuciones de GNU/Linux. Esta librería troyanizada estaba diseñada para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del paquete de software systemd, y, eventualmente, permitiría a un atacante romper la autenticación sshd y obtener acceso no autorizado al sistema de forma remota.

Josep Albors, responsable de Investigación y Concienciación de ESET España.