El país es uno de los blancos más
frecuentes para hackeos que apelan a la ignorancia del usuario además de
explotar vulnerabilidades viejas, ya que la gente actualiza poco sus equipos.
Desde hace un par de años, América Latina pasó de ser una región a
la que casualmente le impactaban los hackeos, a una en la que los
cibercriminales están focalizados e incluso desarrollan campañas maliciosas
específicas para cada país, dependiendo de los puntos flacos de sus usuarios.
En el caso de México, las estrategias más exitosas para los
cibercriminales, son aquellas que utilizan la ingeniería social y las que
explotan vulnerabilidades, consideradas ya obsoletas, pues estas siguen
vigentes debido a que los usuarios actualizan poco el sistema de sus equipos.
“Hemos
detectado que en México, se explotan vulnerabilidades viejas, algunas de más de 10 años,
porque la gente no actualiza sus sistemas”, dijo Miguel Ángel Mendoza, analista
de la firma de seguridad ESET.
Vulnerabilidades en sistemas como Windows XP, Windows Vista o en
partes del sistema de Microsoft Office, conocidas como macros y usadas para
automatizar tareas, que ya no están habilitadas en las nuevas actualizaciones.
ESET comunicó que en 2016, la campaña maliciosa conocida como Neuvert utilizó
esta vulnerabilidad como parte de la estrategia para robar información a usuarios
específicamente en México.
Mendoza dijo que Neuvert aprovechó la vulnerabilidad desde finales
de 2015.
“En las nuevas versiones de Office, las macros están
deshabilitadas, pero el atacante aprovechando la falta de actualización pedía
que las usuaran e incluso daba las instrucciones de cómo. A nivel global vimos
un repunte del macromalware desde 2014 pero el pico en los usuarios mexicanos
fue entre 2015 y 2016, cuando se detectó la campaña”, dijo Mendoza.
Además de aprovechar este hueco recurrente en los sistemas de los equipos mexicanos,
como primer punto de acercamiento al usuario, Neuvert usaba correos
electrónicos falsos de instituciones conocidas como CFE, Consar y SAT, para
captar la atención de los usuarios, pedirles que descargaran un archivo.
Mendoza explicó que los datos que Neuvert podía robar eran
contraseñas, de cualquier tipo, para después venderlas en el mercado negro.
“La gente no le da valor a su información pero hay un mercado
ávido de venderla. Cuentas de Amazon se venden en seis dólares, las de Paypal
hasta en 80 dólares, las de Uber y Netflix en dos dólares. Hay una razón
comercial por la que están atacando al usuario”, dijo.
Mendoza dijo que actualmente esta campaña continúa activa e
incluso las instituciones que son suplantadas para enviar los correos de primer
contacto están al tanto, pero el trabajo y cooperación, no va más allá que
alertar a los usuarios a que no descarguen archivos que les parezcan
sospechosos.
“Están al tanto pero no hay cooperación”, dijo Mendoza y advirtió
que sí podría hacerse una labor más a profundidad. Si bien los usuarios son el
eslabón más débil, la razón por la que los hackers usan correos de estas
instituciones como señuelo es porque una falla en la configuración de sus
servidores, que permite a los atacantes enviar correos en su nombre.
“Los correos enviados pueden parecer reales porque vienen de una
dirección .gob.mx, esto es posible porque muchos servidores están mal
configurados y permiten algo que se llama relay, que es que otro servidor pueda
mandar correos en su nombre”, explicó.
En el engaño
Otra de las campañas recientemente dirigidas a usuarios en América
Latina, en la que los mexicanos tuvieron una alta participación, fue Cybergate.
Dicho malware utilizó la vía del correo electrónico para
infiltrarse en equipos y robar sus contraseñas e información. Además, de tomar
control de la cámara y el micrófono de las máquinas. El Salvador fue el país
más afectado, con 43% del total de las víctimas, seguida de Guatemala con 29% y
en tercero México con 11%.
Mendoza advierte que, como en este caso, aunque el malware sea
algo más sofisticado, las
técnicas que se utilizan son viejas y aún así consiguen su objetivo.
“Los usuarios seguimos cayendo en los engaños. Estas técnicas no
sólo funcionan para el phising si no también para ransomware y otro tipo de
malware ¿más sofisticado? sí, pero se siguen usando técnicas viejas asociadas a
explotar la poca educación de los usuarios en ciberseguridad”, dijo Mendoza.
