Avast repasa las amenazas más destacadas de 2021
El proveedor de seguridad digital y privacidad ha aprovechado el fin del año 2021 para echar la vista atrás y revisar las ciberamenazas más frecuentes durante el pasado año. Los ciberdelincuentes continuaron aprovechandose de la covid-19, explotando los hábitos adquiridos durante la cuarentena para difundir estafas. El ransomware, el malware de criptomonedas y las estafas siguieron prevaleciendo, y en el ámbito móvil, el adware y el fleeceware estuvieron entre las principales amenazas.
«La pandemia ha cambiado casi todos los aspectos de nuestras vidas, y eso incluye también el mundo cibernético», dijo Michal Salat, director de inteligencia de amenazas de Avast. «Los métodos de los atacantes son cada vez más sofisticados. Los ciberdelincuentes están utilizando técnicas que los hacen más difíciles de detectar y llevan a cabo ciberataques más personalizados. También están añadiendo nuevos giros a técnicas ya probadas, especialmente en ataques de ingeniería social, como los scams».
Ransomware en empresas y particulares
Los ataques de ransomware persistieron en 2021, con empresas internacionales como Kia Motors, Acer, Colonial Pipeline y el proveedor de servicios gestionados Kaseya infectados. En España tampoco se libraron empresas privadas como Mediamark o Meliá Hoteles e insticiones públicas como la Universidad Autónoma de Barcelona o el propio Servicio Público de Empleo que fue víctima del ransomare «Ryuk». Avast observó un aumento del 38% en los ataques de ransomware dirigidos a los consumidores a nivel mundial, al comparar los últimos cinco meses de 2021 (junio-octubre) con los primeros cinco meses del año (enero-mayo). En España los ataques aumentaron un 142,86%.
Las empresas de todo el mundo también experimentaron un mayor número de ataques durante los últimos cinco meses analizados del año (junio-octubre). Las posibilidades de que sean objeto de ransomware aumentaron un 36,99% en comparación con los cinco primeros meses de este año (enero-mayo), pasando del 0,073% al 0,1%. En el caso de España, las posibilidades de que las empresas sean objeto de ransomware ha aumentado un 154,35% con respecto a los cinco primeros meses del año.
Estafas de sextorsión, entrega de paquetes y asistencia técnica
Los ciberdelincuentes siguieron utilizando la pandemia en su beneficio, difundiendo estafas y ataques de phishing para aprovechar los nuevos hábitos adquiridos de la gente, a través de las comunicaciones y las compras online.
A principios de ese año, los investigadores de Avast observaron una avalancha de estafas de sextorsión o extorsión sexual, con más de 500.000 casos bloqueados. Este tipo de campañas se aprovechan del aumento del uso de los servicios de videoconferencia durante la pandemia, afirmando falsamente haber accedido al dispositivo y a la cámara del usuario. Los usuarios de varios países también han estado recibiendo mensajes SMS que enlazan con un troyano bancario llamado «FluBot», que se hace pasar por empresas de envío de paquetería para robar credenciales y otros datos personales, y también han sido objeto de estafas de soporte técnico. Éstas engañan a las víctimas haciéndoles creer que su ordenador ha sido infectado por un malware y que su único recurso es llamar a una línea telefónica de asistencia técnica, que en realidad es una estafa.
En general, los ataques de phishing siguieron aumentando durante 2021. En España, las posibilidades de que las empresas se encuentren con estafas de phishing han aumentado cerca de un 40% en cinco meses (junio-octubre). Sin embargo, los consumidores siguen siendo el principal objetivo de este tipo de amenazas, la ratio de riesgo medio para los consumidores españoles este año fue un 41% mayor que para los usuarios empresariales (6,06% frente a 4,3%), y las posibilidades de que los consumidores se encuentren con esta amenaza también crecieron un 25,43% en cinco meses analizados (junio-octubre).
Estafas y malware centrados en criptomonedas
Este año, el equipo de Avast Threat Labs identificó una gran variedad de nuevas amenazas cuyo objetivo común era lucrarse o minar criptomonedas a costa de los usuarios. Algunas de las que afectaron principalmente a muchos países del mundo fueron «Crackonosh» y «BluStealer». La primera se trata de un malware de minado de criptomonedas y estaba camuflado dentro de versiones crackeadas de videojuegos. El segundo, BluStealer, es un keylogger, un cargador de documentos y ladrón de criptodivisas en un solo malware que, al igual que FluBot, se aprovechó de la gente que hacía pedidos online durante la pandemia y se propagó a través de una campaña de spam malicioso (malspam).
Además de Crackonosh y BlueStealer, los investigadores de Avast también encontraron un malware de robo de criptomonedas que se distribuía a través de «HackBoss», un canal de Telegram que, en el momento de su descubrimiento, había robado más de 560.000 dólares a las víctimas.
Amenazas para móviles
El adware sigue siendo la amenaza más importante para los teléfonos y tabletas Android del mundo. A nivel global, el 54,7% de las amenazas móviles detectadas de enero a septiembre eran adware. Las aplicaciones falsas ocuparon el segundo lugar, con un 10%, los troyanos bancarios el tercero, con un 9,6%, seguidos de los descargadores, con un 7,5%, y los programas espía, con un 2,3%.
Las aplicaciones de «fleeceware» también resultaron ser una seria preocupación para los usuarios en 2021. Avast descubrió más de 200 nuevas aplicaciones de tipo fleeceware en la App Store de Apple y en la PlayStore de Google. Estas apps prometían pruebas gratuitas pero acababan extrayendo cientos de dólares de sus usuarios a través de servicios de suscripción. Más recientemente, Avast descubrió sitios fraudulentos que se hacían pasar por servicios postales nacionales de varios países de Europa.
Los riesgos para los usuarios no sólo fueron originados por los ciberdelincuentes en 2021. A principios de septiembre, los investigadores de Avast encontraron más de 19.300 aplicaciones de Android que potencialmente exponían los datos de los usuarios debido a una configuración incorrecta de la base de datos Firebase, una herramienta de Android que los desarrolladores pueden utilizar con el fin de almacenar los datos de los usuarios. Esto afectó a una amplia gama de aplicaciones diferentes, incluyendo aplicaciones de estilo de vida, fitness, juegos, entrega de comida y correo en regiones de todo el mundo y expuso información de identificación personal como nombres, direcciones, datos de localización e incluso contraseñas.
Mirando hacia atrás
«Los ciberdelincuentes han mantenido muchos de sus trucos este año, utilizando la ingeniería social para propagar malware con el fin de hacerse con el dinero de la gente, abusando de la tecnología como en el caso del stalkerware para violar la privacidad de las personas o engañando al público vulnerable para que pagase por aplicaciones de fleeceware o por un soporte técnico innecesario», concluye Salat. «Estamos viendo cómo aumentan los daños en línea que afectan a la forma en que las personas experimentan el mundo digital. Los métodos de los atacantes son cada vez más sofisticados y todo el mundo está en el punto de mira, desde los usuarios cotidianos hasta los hospitales y los oleoductos, pasando por las empresas alimentarias de todo el mundo. Esperamos que al concienciar sobre lo que hemos observado este año, podamos ayudar a evitar que la gente sea víctima de dichos riesgos en 2022».
De cara a 2022, teletrabajo y criptomonedas marcarán tendencias
Asimismo, los expertos en ciberseguridad de Avast también prevén que los ciberdelincuentes continuarán avanzando para garantizar la eficacia del ransomware y que las estafas de criptomonedas, los fraudes y el malware de minería de criptomonedas persistirán. También se prevén ataques a empresas con políticas de teletrabajo.
Ya se dijo que el pasado año empresas como MediaMarkt o Meliá Hoteles e instituciones públicas como la Universidad Autónoma de Barcelona o el propio Servicio Público de Empleo fueron víctimas de ataques de ransomware. Los investigadores de Avast predicen que la crisis global de ransomware se profundizará en 2022, con más ataques a infraestructuras críticas, como la aviación. Para dirigirse con mayor eficacia a las empresas, los investigadores creen que los ciberdelincuentes que ofrecen ransomware como servicio (RaaS) mejorarán los modelos de suscripción, incluyendo la incorporación de ransomware diseñado para Linux, mejores pagos y la construcción de capas de extorsión.
Recientemente la banda del ransomware «Conti» amenazó con vender el acceso a la organización hackeada si la empresa se negaba a pagar, además de vender o publicar sus archivos. A esto se suma que se espera que los ataques sean llevados a cabo por personas de dentro de la empresa. En cuanto a los ataques de ransomware contra los consumidores, Jakub Kroustek, director de Investigación de Malware de Avast, afirma que «hace dos años, las bandas de ransomware más exitosas empezaron a cambiar su enfoque, pasando de los ataques de tipo ‘spray and pray’ contra los consumidores, a centrarse en ataques dirigidos a empresas. Esperamos que esta tendencia continúe, aunque también anticipamos un resurgimiento del ransomware dirigido a los consumidores, con los ciberdelincuentes adaptando algunas de sus técnicas para atacar a las empresas, como el uso de múltiples capas de extorsión o como la exfiltración de datos seguida de doxing».
A esto añade Kroustek que “para hacerlo de forma efectiva, se requerirá una gran automatización para identificar datos valiosos, debido al mayor número de objetivos individuales y a que sus sistemas son fuentes de datos más fragmentadas. Tampoco sorprendería que cada vez más usuarios de Mac y Linux fueran víctimas del ransomware, ya que los autores de malware han empezado a tener en cuenta estas plataformas a la hora de escribir su código, con el fin de dirigirse a un público más amplio y así maximizar sus beneficios».
Los ciberdelincuentes seguirán recolectando monedas digitales
Con el Bitcoin alcanzando un nuevo máximo histórico en 2021, los expertos de Avast pronostican para 2022 la continuidad del uso de malware de minería de criptomonedas, estafas relacionadas con las monedas digitales y malware dirigido a los monederos de criptomonedas, así como robos en las transferencias.
«Las criptomonedas, como el Bitcoin, han aumentado su popularidad en los últimos años, y los expertos creen que su valor seguirá aumentando en los próximos años. Los ciberdelincuentes van allí donde está el dinero, por lo que seguirán difundiendo malware de minería, malware con capacidad de robar el contenido de los monederos, estafas relacionadas con la tendencia, y seguirán llevando a cabo robos en las transferencias», afirma el director de Investigación de Malware de Avast.
El trabajo desde casa mantendrá abiertas las puertas
Aunque algunos aspectos de la vida pública han vuelto a la normalidad, o a una versión híbrida de lo que era la sociedad antes de la pandemia, es probable que el trabajo desde casa continúe. Según una encuesta de McKinsey de mayo de 2021, los gestores de espacios de oficina esperan un aumento del 36% del tiempo de trabajo fuera de sus oficinas, después de la pandemia. El trabajo desde casa proporciona beneficios a los empleados y a las empresas, pero una mala implementación en términos de configuración de la seguridad de la red seguirá poniendo a las empresas en peligro.
«Las VPN mal configuradas, especialmente sin autenticación de dos factores, dejan a las empresas especialmente vulnerables, ya que básicamente se tratan de una puerta cerrada que protege información extremadamente valiosa y que estaría mejor protegida con una segunda cerradura o en una caja fuerte. Este escenario facilita a los ciberdelincuentes el acceso a la red de una empresa, si consiguen hacerse con las credenciales de acceso o pueden descifrarlas», explica Kroustek. «Otro riesgo relacionado con el trabajo desde casa es que los empleados descarguen datos de la empresa en su dispositivo personal, que puede no tener el mismo nivel de protección que el dispositivo proporcionado por la empresa”.
Además, los expertos de Avast predicen que las falsificaciones de audio se utilizarán en los ataques de spear-phishing. Los delincuentes utilizarán el audio «Deep Fake» para imitar a un ejecutivo u otro empleado y así convencer a alguien de que les conceda acceso a datos sensibles o a la red de una empresa.
«Los ciberdelincuentes pueden tener éxito con el audio Deep Fake porque mucha gente sigue trabajando desde casa. Esto significa que no pueden ver que la persona al teléfono está realmente escribiendo en su mesa y no al teléfono con ellos, o no pueden confirmar la solicitud con la persona acercándose físicamente a ella», continua Kroustek.
Cómo protegerse de los ataques en 2022
«Nadie debería asumir que es inmune a los ciberataques, independientemente del sistema operativo que utilice y de la cantidad de conocimientos técnicos que tenga, productores de software incluidos», explica Kroustek. «Los ataques a la cadena de suministro, como el ataque a Kaseya que propagó ransomware a sus clientes, ocurren una y otra vez y seguirán ocurriendo. Por lo tanto, es vital que los dispositivos estén protegidos con software de seguridad».
-Los parches seguirán siendo esenciales para combatir el ransomware y otros ataques que se propagan a través de software sin parches. Según el director de Investigación de Malware de Avast, los atacantes utilizarán las vulnerabilidades/explotaciones con más frecuencia, incluso para el malware básico, como los mineros de criptomonedas.
-Tanto los usuarios de ordenadores como los de móviles deben ceñirse a los sitios oficiales y a los mercados de aplicaciones al descargar programas y actualizaciones para evitar el malware y las estafas, así como leer detenidamente las reseñas para detectar cualquier señal de alarma.
-Además, los usuarios deben evitar hacer clic en enlaces sospechosos, como los enviados por remitentes desconocidos, relativos a compras, por ejemplo, que no han realizado, o relacionados con cuentas que no tienen, y enlaces que no coinciden con el servicio al que se hace referencia en los mensajes.
-La autenticación de dos factores debe aplicarse siempre que sea posible, esto se aplica tanto a los consumidores como a las empresas, pero es especialmente importante para las configuraciones de VPN.
-Por último, en cuanto a las acciones que la policía puede llevar a cabo para combatir y eliminar el origen de los ataques, los expertos de Avast prevén que la Infraestructura como Servicio (IaaS) se utilice con más frecuencia, y que los autores de malware se centren principalmente en su malware, en lugar de en la infraestructura en la que se encuentra. Esto podría permitir a la policía derribar la IaaS, para acabar con operaciones enteras.
