Cómo operan los cibercriminales en la región: perfil “inmediatista” y bancos como blanco
Con el objetivo de robar cuentas bancarias, los cibercriminales en América Latina tienen un perfil que llaman “inmediatista”: buscan infectar un equipo, obtener el dato y retirar el dinero. Todo resuelto en un día. El instrumento para desarrollar el ataque suele ser un software malicioso (malware) del tipo troyano y el mercado al que va dirigido puede ser la propia región, pero especialmente países de Europa o Estados Unidos. Cómo se desarrolla este ciberataque y cuáles fueron los coletazos de la pandemia.
“Los cibercriminales latinoamericanos se dedican desde el año 2000 al desarrollo de troyanos bancarios, un tipo de código malicioso que permite robar datos para acceder a la cuenta bancaria de una persona o a los números de su tarjeta de crédito. La banca latinoamericana viene desde hace 22 años sufriendo ataques y fraudes, lo que hace que su calidad de defensa haya crecido mucho”, explicó a Télam Fabio Assolini, director del Grupo de Investigación y Análisis para América Latina en la empresa de seguridad informática Kaspersky.
¿Cómo realiza el fraude un troyano? Al crear páginas falsas que coloca por encima de las páginas reales de los bancos para que la víctima introduzca su contraseña y código de verificación, mientras el malware realiza el fraude en el sitio real.
El especialista brindó un panorama de las diversas amenazas en la región durante la Cumbre Latinoamericana de Ciberseguridad, organizada por Kaspersky, que se desarrolló en noviembre en República Dominicana.
Allí sostuvo que América Latina “dejó de importar malware para convertirse en productora y exportadora de amenazas informáticas”, especialmente financieras. “Al desarrollar su capacidad de defensa, la banca evolucionó y les resultó más difícil a los cibercriminales completar los fraudes o las estafas”; explicó.
Por lo que empezaron a mirar mercados donde sea más fácil atacar: “Esto no quita que sigan atacando a la región, pero al mismo tiempo el troyano bancario está listo para robar datos de gente que está en Europa y Estados Unidos, por ejemplo”.
Brasil lidera en América Latina el desarrollo de troyanos, de las 12 “familias de troyanos bancarios más bloqueados” en la región, siete provienen de ese país.
“Este malware lo venden luego a otras partes del mundo: España, Italia, Portugal, Estados Unidos, África. Así como hay muchos profesionales que trabajan en defensa de la ciberseguridad distribuidos en todo el mundo, también hay código maliciosos desarrollado en América Latina y distribuido en todo el mundo”.
Un ejemplo que citó Assolini es “Plotus, un malware de cajero automático”: “El criminal infecta un cajero con un USB y lo puede programar ahí mismo para hacer que salga todo el dinero, como un jackpot. Parece una película, pero el cajero se vacía”, describió.
Según detalló, ese malware fue desarrollado en México, pasó por Brasil, Argentina, Perú pero hoy el Plotus es usado en todo el mundo.
En este escenario hay tres realidades que afectan a la región: la falta de especialistas en ciberseguridad, dado que empresas y gobiernos “no alcanzan a contratar a al personal necesario”. Luego, un presupuesto de ciberseguridad siempre limitado: “Recién después del ‘candado quebrado’ es cuando compran la protección”, mencionó Claudio Martinelli, director General para América Latina y el Caribe de Kaspersky.
El último es “sofisticación creciente de las amenazas” y el hecho de que las generan “organizaciones criminales muy bien estructurada”, en un nuevo sistema de negocio “C to C” (Criminal a Criminal).
Perfil “inmediatista”
El cibercriminal de Europa del Este, por ejemplo, desarrollaba troyano bancario en el pasado, pero “se dio cuenta cuenta de que con el ransomware obtendría una ganancia mayor, así que se volcó a ese código malicioso”. El ransomware es un “software extorsivo” y su finalidad es impedirle a la víctima usar su dispositivo hasta que haya pagado un rescate.
Entonces en ese hueco del mercado global de familias de troyanos bancarios, es que los cibercriminales de la región “comenzaron a exportarlos”.
“El perfil del cibercriminal en América Latina es inmediatista, quiere resultados rápido y lo logra con troyanos bancarios y phishing. El ransomware te da una ganancia más grande, pero te da más trabajo: porque hay que hacer la invasión de la red de la empresa o entidad gubernamental, hay que estudiarla, ver cuáles son sus defensas, hay que burlar estas defensas, hay que ver dónde están los documentos sensibles, hay que exfiltrar todos estos datos. Todo eso toma días”, contó Assolini.
Si bien siempre buscan formas de automatizar para obtener más víctimas, prefieren la inmediatez. Y el phishing y el troyano bancario son ataques inmediatistas, te infectan por la mañana y a la tarde ya robaron tu cuenta o tarjetas de crédito.
Ataques de malware en América Latina: explosión de phishing y el celular en la mira
Alrededor de 660 millones de personas, casi el 9% de la población global, viven en América Latina y un total de 533 millones están conectadas a internet. La pandemia no solo generó más conexiones sino aún más tiempo de permanencia en las pantallas, por lo que se dispararon los ciberataques.
En febrero de 2020 se registraron 89 millones de ataques de malware en la región, y en septiembre de ese año la cifra alcanzó los 146 millones, lo que resultó un incremento del 64%. “¿Qué explica este crecimiento? El trabajo remoto” y los hogares convirtiéndose en sucursales de empresas, explicó Assolini.
En los 16 meses siguientes a septiembre de 2020, se registró una disminución del 39% en los ataques, explicado “por el cierre de empresas durante la cuarentena”. Y ya en enero de 2022, se llegó a niveles pre-pandémicos con 90 millones. Pero en mayo de 2022 empezaron a crecer de nuevo: 117 de millones. “¿Por qué? Por la reactivación económica”, mencionó Assollini.
En Argentina, durante los primeros seis meses de 2022 se dieron 30 ataques de malware por minuto, alejados de los 1.554 que registró Brasil. Pero el phishing sigue representando una amenaza para la región”: con 38 millones de ataques en lo que va del año, lo que representa 110 ataques por minuto. Se trata de mensajes fraudulentos enviados por mail, SMS y especialmente redes sociales o servicios de mensajería como WhatsApp.
Entre los principales intereses de estos mensajes fraudulentos están: robar credenciales bancarias por internet/móvil, robar credenciales de redes sociales, robar credenciales de servicios online (tiendas, streaming), usar temas de servicio financiero para robar contraseñas, y obtener datos de pago (tarjeta de crédito).
En Argentina se produjeron 829 mil ataques de phishing en los primeros seis meses de 2022, un aumento del 63% respecto del mismo período del 2021. ¿Por qué crecen tanto? “Porque el crecimiento en pantallas creció mucho, hay más gente conectada y más permanencia frente a la pantalla”, entre otros motivos, explicó el investigador.
Si bien las personas suelen tener alguna solución de seguridad en sus computadoras, no la instalan en los celulares, donde también es muy necesario. La tendencia lo indica: las amenazas online latinoamericanas se dirigen más a los dispositivos móviles que a las computadoras.
De hecho, en los últimos 12 meses, se registraron 6.394 intentos de ataque por día contra dispositivos Android en América Latina, de acuerdo con Kaspersky.
También suele pasar que las personas se preocupan después del daño o el ataque, en lugar de prevenir. “Por eso un hábito a incorporar es buscar información en internet sobre cómo se dan los ataques y no hacer clic en cualquier enlace que uno reciba”, aconsejó el especialista.
“La gente también es inmediatista y quiere hacer clic rápido cuando recibe mensajes por WhatsApp que prometen televisores gratuitos para el Mundial, por ejemplo. Entonces hay que esperar y pensar ‘¿esto puede ser una estafa?'”.
También es importante mantener los equipos actualizados. Suele suceder que a las personas “les da fiaca” actualizar sistemas operativos, lo que es muy necesario porque muchas veces esa actualización soluciona problemas de seguridad.
Y la recomendación de siempre: instalar un sistema de seguridad en los dispositivos y no usar la misma contraseña para todos los servicios.