El miedo al coronavirus, un gancho para robar tus contraseñas

El coronavirus se ha convertido en el último cebo que los ciberdelincuentes han arrojado a Internet. En las últimas semanas lo han usado para introducir software malicioso en los equipos de los usuarios o robar sus contraseñas.

La Covid-19, que este miércoles ya rebasaba los 70.000 infectados y arrojaba 2.008 muertos, ha saltado a la Red adoptando una nueva forma de amenaza. Varias empresas de ciberseguridad han detectado el uso del virus como gancho para atacar a los usuarios. A finales de enero, investigadores de IBM descubrieron correos destinados al phishing o robo de contraseñas en algunas regiones de Japón. Los mensajes aludían a la enfermedad pero solo eran la maniobra para introducir un popular troyano, Emotet.

En la firma israelí CheckPoint también se han topado con campañas de spam bajo la temática del coronavirus y dedicadas a la difusión del mismo troyano. Los correos aparentemente informan sobre las zonas donde se está propagando la Covid-19 u ofrecen supuestamente datos adicionales sobre la afección.

Emplear asuntos de actualidad candente como gancho para lanzar ataques no es un truco nuevo. Todo lo contrario. “Es muy normal”, comenta Dani Creus, investigador de la compañía Kaspersky. Él está habituado a ver cómo los cibercriminales realizan campañas estacionarias, tal y como las llaman en ciberseguridad. En Navidad o cuando viene la declaración de la Renta se envían mensajes con estos ganchos, para incitar a los usuarios a pinchar en un enlace o descargar un archivo malicioso. “Aparte de estas campañas estacionarias, muchas veces aprovechan algún evento circunstancial que sea de interés para enviar este tipo de spam”, apunta Creus.

Su empresa ha sido una de las que ha detectado el uso la Covid-19 como cebo. En enero dieron con algunos archivos que supuestamente contenían instrucciones en vídeo sobre cómo protegerse del virus o incluso procedimientos para detectarlo. Lo que contenían en realidad eran software malicioso: troyanos y malware para robar datos. Más tarde, Kaspersky ha descubierto correos electrónicos que de nuevo usan el virus como atractivo para que el usuario pinche en un enlace. El fin último es robar la contraseña de su email.

“El gancho que utiliza para llamar la atención del usuario es un mensaje supuestamente enviado desde el Centro para el Control y Prevención de Enfermedades de Estados Unidos”, expone Creus. “Incluyen un enlace en el cuerpo del mensaje y este enlace va a parar a un sistema de correo falso, para robar las credenciales del usuario”. En este caso, la web a la que mandaba al usuario era una plantilla idéntica a la plataforma Outlook Web Access. La única diferencia es que la barra de direcciones del navegador marca una URL diferente a la auténtica: http://www.outlook.com. Si el usuario introduce sus credenciales en esta página falsa las estaría enviando directamente a los ciberdelincuentes.

El Centro para el Control y Prevención de Enfermedades de Estados Unidos no ha sido la única organización que se ha suplantado. En relación con la Covid-19, la empresa británica Sophos ha detectado correos que se envían en nombre de la Organización Mundial de la Salud.

Manuel Ransán, experto en ciberseguridad para ciudadanos y menores del Instituto Nacional de Ciberseguridad (INCIBE), destaca la creciente sofisticación de los mensajes de correo destinados a engañar al usuario: “Antes los phishing eran bastante burdos. Te decían que había habido un problema en el banco y te pedían las contraseñas. Ahora no son mensajes tan directos. Ahora los camuflan mejor y lo suelen asociar con un tema de urgencia, para que no reflexionemos demasiado y hagamos lo que nos piden”.

El objetivo es dar confianza. “Si haces referencia a temas de actualidad, a entidades conocidas y de prestigio, siempre es más fácil que al usuario le parezca un mensaje legítimo”, señala Ransán. Los temas pueden ser dispares. Aunque Creus apunta que normalmente captan la atención del usuario con información falsa, muy llamativa, para arrastrarlo a pinchar en un enlace. En este caso, según el investigador de Kaspersky, los ganchos son “posibles vacunas contra el coronavirus o simplemente decir que ha habido un nuevo avance en la investigación de la enfermedad y, si quieres ver más, pincha en este enlace. Sirve cualquier noticia que llame la atención porque saben que ahora mismo el usuario está receptivo.”

El sentido común siempre por delante

Los ciberataques que usan el coronavirus como gancho apelan a un sentimiento de urgencia muy humano, el miedo. Y aquí es cuando el usuario tiene que estar alerta. “Hay que sospechar de todos aquellos mensajes que intenten alentar, ya no solo el miedo, también el afán de lucro, la codicia. Todos sentimientos muy humanos”, explica Creus. “Los cibercriminales saben muy bien cómo utilizar estos cebos para engancharnos psicológicamente”.

Afortunadamente, cada una de las amenazas mencionadas anteriormente ha sido descubierta. Esto quiere decir que los indicadores asociados a ellas se introducen en la base de datos de la compañía de seguridad. Más aún, se comparten con otras empresas del gremio, de manera que sus antivirus también puedan proteger a sus clientes. Sin embargo, es probable que haya otras amenazas parecidas circulando en estos momentos o que lo vayan a hacer en el futuro.

“Cada vez se ven más campañas asociadas a temas de actualidad, que están teniendo mucha repercusión a nivel nacional e internacional, porque de esta forma le dan cierta credibilidad a la campaña”, señala Ransán, desde el INCIBE. “Normalmente cuanto más morbo y más curiosidad despiertan entre la gente, más efectivas son”.

Como recomendaciones generales, desde el INCIBE destacan que lo primero, ante un correo electrónico dudoso, es comprobar la dirección del remitente. Si el mensaje supuestamente lo envía una marca, pero esta no aparece en la dirección de correo, tenemos un motivo para sospechar. Si la dirección es legítima, tampoco esto es una garantía, porque pueden haber suplantado la dirección del remitente.

Ransán hace hincapié en la necesidad de hacer un análisis crítico del mensaje y, como recurso adicional, no pinchar en los enlaces que tiene el texto ni descargar los archivos. Ante la duda, recomienda llamar al 017, el nuevo teléfono habilitado por el INCIBE para incidencias de ciberseguridad. Un número que también está disponible para aquellos que han sido víctimas de cualquier tipo de estafa en el mundo digital.