Virus informáticos, la otra pandemia

A río revuelto, ganancia de pescadores. Este famoso refrán cobra todo su sentido con la actual crisis del coronavirus. Y es que la rápida expansión del virus biológico ha llegado acompañada de un boom de virus informáticos. Los hacker que se dedican a la ciberdelincuencia encuentran en momentos de especial interés y sensibilidad social la situación perfecta para lanzar sus ataques de forma masiva. Los hay de todos los tipos; desde los que venden medicamentos fraudulentos a los que proponen aplicaciones falsas destinadas a robar datos bancarios por whatsapp o email… También hay programas que se instalan en el ordenador gracias a un adjunto en un correo malicioso y que buscan encriptar nuestros datos. El fin es siempre el mismo: pedir un rescate monetario.

Son varias las organizaciones que alertan del crecimiento del número de ataques. Por ejemplo, la Organización Internacional de la Policía Criminal, Interpol, pedía hace unos días extremar la precaución si compramos medicamentos online: “han surgido tiendas falsas, sitios web, cuentas de redes sociales y direcciones de correo electrónico que afirman vender estos artículos”. La entidad afirma que en lo que va de crisis ha trabajado en 30 casos de fraude relacionados con el coronavirus y ha congelado unos 730.000 dólares en transacciones sospechosas. La Organización Económica Mundial también alerta sobre vulnerabilidad de los sistemas digitales: “Internet se ha convertido en el canal principal para las interacciones humanas y en la forma principal en que trabajamos, nos contactamos y apoyamos. En el contexto actual sin precedentes, un ataque cibernético que priva a las organizaciones o familias del acceso a sus dispositivos, datos o Internet podría ser devastador. En el peor de los casos, los ataques podrían causar fallos de infraestructuras y afectar a comunidades o ciudades, obstaculizando el trabajo efectivo de proveedores de atención médica, sistemas públicos y redes”.

La propia Organización Mundial de la Salud se ha encontrado con el doble de ataques informáticos desde primeros de mes, según informa la agencia Reuters: “El 13 de marzo se detectó un email malicioso que imitaba el sistema de correo interno de la organización”. De hecho, la OMS ha sacado una advertencia en su sitio web en el que pide a las víctimas que informen sobre correos electrónicos que les lleguen imitando sus credenciales.

También en España se han detectado ataques cibernéticos a infraestructuras sensibles. Los hospitales han sufrido un bombardeo de un programa de ramsomware llamado “Netwalker”. Su intención era instalarse en los sistemas informáticos de los centros y para ello se valía de correos con una hipotética y fraudulenta información sobre el Covid-19. “Ramsonware define un tipo de programa malicioso que sirve para encriptar los datos del equipo o equipos en los que se ejecuta. Para ello usan técnicas de phishing, es decir, suplantan la identidad de una empresa o de una persona para mandar correos. Tiene que ser de confianza para quien lo recibe abra el archivo adjunto, que suele ser un documento de texto o un pdf. Al hacer doble click en el archivo, el programa se instala y se ejecuta encriptando los datos del ordenador o de la nube en la que se trabaja”, explica Justo Pérez, fundador de la start-up de Inteligencia Artificial Magiquo y autor de “La Biblia del Hacker”. Estos programas, advierte Pérez, pueden encriptar desde documentos a programas y bases de datos con lo cual consiguen paralizar rápidamente la actividad de cualquier entidad. “En algunos casos se tarda mucho tiempo ya no en arreglar sino en estabilizar la situación y volver a dar servicio por lo que las pérdidas para las firmas va en función de ese tiempo que están paradas”, afirma Pérez.

Desde el Instituto Nacional de Ciberseguridad (Incibe) también han visto crecer las peticiones de ayuda estos días. “Hemos visto cómo los ciberdelicuentes están usando de excusa el estado de alarma para captar datos o que se instale malware para infectar o inutilizar dispositivos. Generalmente usan la técnica de phishing. Son los típicos fraudes bancarios de siempre o de tiendas falsas, sólo que ahora la particularidad es que todos integran las palabras covid o coronavirus para que la gente se confíe y mire los mensajes”, explica Ruth García, experta en ciberseguridad en el área de Ciudadanos de Incibe. “Estamos todos más pendientes de buscar información y de todo eso se aprovechan los delincuentes. Al final en la ciberseguridad el ser humano supone el eslabón más débil. Los fraudes son de todos los tipos… Hay aplicaciones para móvil que dibujan el mapa de evolución del virus biológico y apps para ver si tenemos síntomas. De todo. Los ataques a infraestructuras críticas como universidades o centrales nucleares son habituales y los hay todos los días con independencia de la crisis actual. La clave es que ahora estas infraestructuras son más críticas que nunca”, afirma José Luis Vázquez Poletti, director de la Oficina de Software Libre y Tecnologías Abiertas de la Universidad Complutense de Madrid.

Sólo un dato más bastante ilustrativo. La empresa de seguridad informática CheckPoint afirma que desde que estallara la alerta sanitaria han aparecido más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios web, el 3% es maliciosos y un 5% adicional está bajo sospecha. “Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros”, dice.

¿Qué buscan?

Pues básicamente un rescate, una vuelta atrás, la devolución de los datos o los sistemas a cambio de dinero. Eso sí en bitcoins; la moneda virtual no es rastreable. Todos los expertos recomiendan no pagar, pero una vez que una empresa se encuentra con los datos secuestrados y la actividad paralizada, ¿quién no se siente tentado de pagar una cantidad razonable por que le devuelvan su operatividad? Sin embargo, “encriptar ficheros consume muchos recursos y tiempo y como los hackers lo que quieren es lanzar ataques masivos y rápidos muchas veces simplemente corrompen los archivos grandes, en lugar de encriptarlos. Eso hace que técnicamente luego sean irrecuperables”, aclara Pérez. Llegados a ese punto lo que queda es tirar de copia de seguridad y de volver a levantar los servidores; una operación en la que el tiempo cuenta en contra de la facturación de las empresas. Poletti está de acuerdo: “muchas veces no tienen el remedio que proponen. Al final la única solución pasa por formatear y volver a instalar desde la última copia de seguridad”.

Sin duda, hay dos preguntas del millón cuando hablamos de ciberataques. La primera es ¿cuánto dinero mueven estas actividades ilícitas? La respuesta a día de hoy es que no hay datos fiables. “Nadie lo sabe porque una de las premisas para que los ataques sean exitosos es el sigilo”, dice Poletti. Sí hay un par de datos que pueden darnos una pista. Un informe del Consejo de Asesores Económicos de la Casa Blanca publicado en 2018 y que cuantifica en entre 50.000 y 100.000 millones el impacto en dólares del cibercrimen en la economía de los Estados Unidos. Otro dato es el del Foro Económico Mundial y afirma que casi un tercio de todos los delitos informáticos mundiales ahora se dirigen a Asia oriental y representan pérdidas anuales de unos 200.000 millones de dólares.

Otro de los grandes interrogantes es de dónde salen estos ataques. La respuesta tampoco aquí parece sencilla. En muchos ocasiones se apunta a Europa del Este como el punto de partida. Países como Rumanía se han especializado en esta actividad desde la caída del comunismo en 1989. De hecho en este país se sitúa Hackerville, la zona cero del pirateo informático. Esta ciudad rumana llamada en realidad Ramnicu Valcea concentra la mayor actividad hacker del mundo. Aquí grupos de profesionales se unen para obtener los datos de las empresas en un momento de la historia en que poseer datos e información de los demás, de la competencia, es poder. Sin embargo, “todos los días hay ataques con falsas banderas por lo que es muy difícil detectar el origen. Por otro lado, puede haber grupos pero no sabes si son independientes o si están actuando porque otra potencia exterior les esté pagando. Se parece un poco a las novelas de espías y contraespías de John le Carré. Aquí hay intereses económicos, pero también geopolíticos. En el ciberespacio las fronteras están muy diluidas”. Además está la forma de trabajar de los delincuentes: “Se puede hacer un ataque coordinado a muchos ordenadores o incluso comprar ordenadores infectados en el deep web. Eso es como ir a la pescadería. Puedes encontrar desde ordenadores a información sobre vulnerabilidades de los sistemas detectados por otros hacker. Si yo como informático detecto un hueco en un sistema de una empresa puedo avisar a la organización, como hacemos desde la Universidad, pero también puedo vender la información en la deep web”, dice Poletti.

Apoyo: ¿Cómo nos protegemos?

Es cierto que en general hay épocas del año en las que aumentan los ciberataques, por ejemplo en el Black Friday, el y Cyber Monday o fechas señaladas como San Valentín. Es cuando se producen más ventas fraudulentas, porque en general los usuarios sospechamos menos si encontramos productos de marcas rebajados de precio. Pero los ataques actuales tienen algo de especial. Incluso las multinacionales Google y Microsoft han anunciado estos días que debido a la situación de crisis y teletrabajo dejarán de emitir actualizaciones, es decir nuevos parches de seguridad, por lo que habrá que extremar precauciones. “Si se teletrabaja, seguir los estándares de seguridad que hayan comunicado las empresas a sus trabajadores. Por supuesto hay que contar con antivirus instalados, actualizar los sistemas informáticos, revisar las conexiones wifi y si es posible conectarse por cable al router. Muy importante también hacer un uso seguro de las contraseñas, es decir que sean robustas y diferentes para correos personales, de empresa y aplicaciones varias. También fundamental no dejarlas apuntadas. Para minimizar aún más el riesgo no hay que intercambiar ficheros personales y profesionales y tener cuidado con los mails y Whatsapp que nos llegan; sospechar si es de un contacto poco habitual y el contenido que propone si es de un contacto frecuente. Y, cómo no, intentar pasar un antivirus antes de abrir cualquier fichero”, explican desde Incibe.