Convid-19, utilizado por ciberdelincuentes
Enrique Amestoy
La propagación del virus SARS-COV-II, responsable de la enfermedad conocida como coronavirus Covid-19, así como la desmedida cantidad de información con que somos bombardeados, incrementa sin dudas la psicosis colectiva pero también la real necesidad de búsqueda de información al respecto. Para ello hay miles de sitios que nos enseñan a cuidarnos, a mantener la “distancia social” como principal herramienta de combate o diferentes recomendaciones para lograr atravesar este momento que nos toca vivir, de la mejor manera posible.
El momento que vivimos es también un excelente caldo de cultivo para aquellos inescrupulosos que ven la desesperación internacional como una oportunidad para el ciberdelito. En lo que algunos denominan la “era de la inmediatez” aparecen aplicaciones o programas que nos proponen, en tiempo real, ver mapas interactivos de la evolución de la pandemia o curas caseras contra el virus. Programas que muestran imágenes como la que uso para ilustrar éstas líneas, por ejemplo.
Una de las amenazas, diseñada para robar información de sus víctimas, fue descubierta y notificada en Twitter por MalwareHunterTeam el 3 de marzo y analizada por Shai Alfasi, investigador en ciberseguridad para la firma Reason Labs.
Se trata de un programa que generalmente lleva el nombre “corona-virus.exe” o “corona-virus-map.com.exe” que esconde un viejo malware denominado AZORult que tiene la capacidad de recolectar información de navegación, información almacenada en cookies, contraseñas y nombres de usuario, entre otra información. El programa usa una interfase de usuario muy convincente, con información sobre el avance del COVID-19 y que por detrás roba valiosa información almacenada en el equipo infectado.
En el blog de Reason Security Alfasi hay un completo y detallado informe de como actúa el malware así como de los rastros que deja y formas de detectarlo. A quien le interese ir mas a fondo en la información referente a éste malware le invito a visitar el blog.
También se han detectado otro tipo de ciberataques, como los de denegación de servicio (DdoS attack) en el Hospital Universitario de Brno en República Checa, uno de los principales centros de estudio sobre COVID-19, como señala Security Affairs, o el informe de la firma de seguridad informática ESET al Departamento de Salud de los EEUU.
También la firma ESET da cuenta de un importante incremento en correos electrónicos con adjuntos maliciosos. Son los que denominamos “correos phishing” en tanto contienen adjuntos que, una vez instalados en el computador de la víctima, ponen en funcionamiento programas que se ocupan de robar datos personales, contraseñas, tarjetas de crédito, entre otra valiosa información personal. En general se han denunciado correos electrónicos donde se proponen curas para el COVID-19.
También han aparecido aplicaciones que ocultan ataques de ransomware Son programas que, una vez instalados, normalmente encriptan o restringen el acceso a la información del equipo infectado y que solicitan de un pago para obtener el “rescate” de la información. En dispositivos Android se ha detectado un ransomware denominado CovidLock y a nivel de PC generalmente en instalables con nombres similares al virus (covid-19.exe, covid19.msi, etc).
Es interesante reseñar que si usted tiene intenciones de ver un mapa interactivo sobre el avance del COVID-19 en el mundo, existe al menos uno que es señalado como seguro. Es el implementado por ARCGIS de la firma ESRI en https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
Las recomendaciones para protegernos son las que normalmente hemos dado en otros casos. Sin duda alguna el uso de Software Libre hará casi nulas las posibilidades de ser víctimas de éstos ataques. Como han podido notar, las amenazas detectadas son para Android y principalmente para equipos que corren sistema operativo Windows (programas .com, .msi o .exe).
Pero si aún prefiere continuar utilizando el sistema operativo de Microsoft tenga en cuenta que no debe instalar software de fuentes desconocidas o sospechosas. De la misma manera debe ser muy cuidadoso a la hora de abrir archivos adjuntos y solo hacerlo cuando es 100% confiable el remitente.
Por último resaltar la importancia de reportar los incidentes informáticos al Centro de Respuesta a Incidentes Informáticos de su país. En Uruguay reporte al CertUy, en España al INCIBE, en Argentina al BA-CSIRT o investigue cual es el centro de respuestas al que debe reportar en su país.
Reportando los delitos, de la misma forma en que se reportan los casos del virus COVID-19 o cualquier otro tipo de peligro para la salud o la sociedad, logramos que se genere conocimiento sobre las manifestaciones del ciberdelito así como nos es posible generar alertas y herramientas para defendernos.
*Exasesor en TIC del Ministerio de Relaciones exteriores uruguayo, docente, investigador en temas de TIC, Seguridad informática y Software Libre. Colaborador del Cnro Latinoamericano de Análisis Estratégico (CLAE)