La pandemia disparó en un 2.000% el número de ciberamenazas en la red, según un informe elaborado por una alianza de Telefónica y varias telecos del mundo

La Telco Security Alliance (TSA) ha liberado este miércoles un informe en el que pone negro sobre blanco cómo ha sido el incremento de las ciberamenazas durante la pandemia del coronavirus a nivel global. La TSA es una alianza de importantes multinacionales de telecomunicaciones como la singapurense Singtel, la saudí Etisalat, la japonesa SoftBank, la estadounidense AT&T y la española Telefónica.

Para elaborar este informe han colaborado varios investigadores en ciberseguridad de estas compañías globales. En el caso de Telefónica, han sido los profesionales de su unidad de ciberseguridad, ElevenPaths, los encargados de aportar varios hallazgos sobre cómo ha estado el 'patio' digital durante los meses más complicados de la crisis del COVID-19.

En la industria de la ciberseguridad se emplea un indicador de compromiso, cuyas siglas en inglés es IoC. Estos IoC describen desde incidentes de ciberseguridad hasta actividades o artefactos digitales cuya ejecución persiguen fines maliciosos y espúreos.

Leer más: Así es el sector de las 'bug bounties' que Telefónica va a impulsar en España: las marcas mejoran su seguridad y los hackers pueden convertirse en millonarios

Usando este indicador, la TSA registró un incremento de hasta el 2.000% en el número de IoC durante los meses de febrero y marzo. Una de las múltiples conclusiones a la que llega la TSA con este informe es que "la pandemia ha proporcionado nuevas oportunidades que los atacantes comenzaron a aprovechar rápidamente y seguirán haciéndolo durante el mayor tiempo posible".

"Cabe destacar el buen trabajo realizado por la industria de la ciberseguridad, que está tomando las acciones adecuadas para hacer frente al gran aumento de los ciberataques durante esta crisis sanitaria de escala global", asegura la TSA en este documento, que se ha liberado este miércoles por la tarde.

En la gráfica superior están repartidos los IoC detectados durante estos dos meses. Según la TSA, el 44% de los IoC correspondieron a dominios fraudulentos. La explicación rápida es que esto se debe a la gran cantidad de ciberataques que colectivos de ciberdelincuentes intentaron perpetrar mediante el uso de páginas fraudulentas que suplantaban páginas reales, un fenómeno conocido como phising.

Leer más: Los atacantes de LG enseñan pruebas de su acción y aseguran haber robado 40 GB en código que la empresa había desarrollado para clientes

Pero el informe también se detiene en cómo han proliferado las campañas de correos electrónicos no deseados, lo comúnmente conocido como spam. Tras analizar el 2,7% de la muestra de spam relacionado con COVID-19, los ciberexpertos de estas telecos determinan que el 80% de los correos eran originarios de Estados Unidos. "No es una sorpresa debido a su rica superficie de ataque para configurar robots de spam en servidores comprometidos".

El 25% de estos correos spam incluiían archivos ejecutables, muchas veces enviados en formato comprimido. "Otra técnica maliciosa, aunque menos usada, es adjuntar documentos de Office365 maliciosos", abunda el documento. Muchas veces se usan archivos de Office comprometidos para inocular ataques en los sistemas informáticos de sus objetivos.

Los principales actores que han ciberatacado durante la pandemia

El informe también llama la atención en varios colectivos de ciberdelincuentes que han protagonizado las campañas de phising o fraude durante los meses de la pandemia del COVID-19.

Los agentes de AT&T, por ejemplo, han detectado cómo los cibercriminales de Kimsuky han intentado vulnerar el mayor número posible de ordenadores con MacOS durante los meses más complicados de la crisis. "Es un actor siempre activo, pero lo ha sido muy especialmente durante la pandemia". Según fuentes "de confianza" citadas por el informe, se trataría de un colectivo que opera bajo las órdenes del gobierno de Corea del Norte.

También habla de TA428, un colectivo que fue descubierto a mediados del año pasado por los expertos de la empresa de ciberseguridad Proofpoint. "El adversario ha llevado a cabo operaciones contra agencias gubernamentales en el este de Asia", abunda el documento, que refiere también que las operaciones de este ente están bajo las órdenes del Gobierno chino.

Los expertos españoles de ElevenPaths han aportado al documento los hallazgos que han hecho sobre dos colectivos muy prevalentes durante la pandemia: Vendetta y Hustleking.

Los primeros comenzaron a operar en abril de este año ejecutando campañas de phising contra países como Taiwán, China, Australia, Egipto o México. Precisamente Australia anunció hace unos días que estaba sufriendo una intensa campaña de ciberataques contra actores críticos de su economía, así como contra organizaciones gubernamentales del país oceánico.

Vendetta protagonizó por ejemplo una sonora campaña de phising con correos fraudulentos que se hacían pasar por el director del Centro de Control y Prevención de Enfermedades de Taiwán. "Se informaba al receptor de ser sospechoso de estar infectado de COVID-19 tras haberse detectado casos positivos cercanos", por lo que instaba a los usuarios a descargar un archivo con supuestas instrucciones para realizarse un test de coronavirus.

Por supuesto, estas supuestas instrucciones en realidad incluían un programa malicioso con el que los ciberdelincuentes lograban infectar a sus víctimas. Muchas empresas de ciberseguridad ya han llamado la atención en declaraciones a Business Insider España cómo muchos criminales van a aprovechar tecnicismos de vigilancia epidemiológica —en pleno proceso de desescalada y desconfinamiento en varios países del mundo— para ciberatacar a sus objetivos.

Leer más: Los ciberdelincuentes se harán pasar por rastreadores de contactos para robar datos o engañar a sus víctimas para que hagan cuarentena, según alertan varios expertos

La otra investigación aportada por ElevenPaths es el hallazgo de Hustleking, otro colectivo de cibercriminales que enviaba una campaña de emails no deseados con un archivo comprimido ejecutable que incluía troyanos de acceso remoto (RATS, en inglés). Lo único que hacían para engañar a muchos usuarios era cambiar el icono del archivo: en lugar del icono de un archivo comprimido, aparecía el icono de un archivo PDF.

Estos RATS, abundan en el informe, incluían programas con Keyloggers, unas aplicaciones capaces de leer todo lo que tecleas en tu dispositivo —y de este modo, capaz de robar tu contraseña—. Una vez los objetivos de esta campaña hacían click en el archivo que recibían en correo electrónico, el programa malicioso comenzaba a ejecutarse. Si se reiniciaba el dispositivo, este volvía al cargar al encender la máquina.

La TSA incide en que los atacantes han desplazado los ataques a temas centrados con el COVID-19, y además espera que sigan evolucionando "hacia nuevas áreas que presenten más probabilidad de éxito para completar su misión". Su misión no es otra que infectarte para sacar rédito económico.