¿Qué ciberataque va a haber hoy? Así se detectan las suplantaciones antes de que ocurran

A principios de la pasada semana, el colectivo Malware Hunter, que vigila las tendencias en la distribución de programas maliciosos, lanzó una advertencia desde su cuenta de Twitter: “Preparaos españoles. Los actores han comprado múltiples nuevos dominios para usarlos”. Esos “actores” eran cibercriminales y esas páginas, que simulaban ser de la empresa de paquetería DHL, explicaban al usuario incauto cómo descargar una aplicación para hacer el seguimiento de un envío. “La finalidad es básicamente robar credenciales de aplicaciones de banca que tenga el usuario en su dispositivo y a partir de ahí hacer transferencias de dinero a cuentas controladas por los delincuentes”, explica Josep Albors, experto en seguridad informática. Semanas antes, estas manzanas envenenadas iban disfrazadas de comunicación de Correos, pero también las hemos visto en forma de multas de la DGT, notificaciones de Hacienda e incluso informaciones relativas a las restricciones de la pandemia.

Para lanzar una campaña de suplantación -phishing-, los cibercriminales necesitan una página desde la que hacerlo e incluso a la que asociar las cuentas de correo electrónico que van a emplear para distribuir sus intentos de engaño. Por eso, vigilar la creación de nuevos dominios se convierte en esa mirada que echamos al cielo para saber qué tiempo va a hacer. Cielo enladrillado, suelo mojado; oleada de registros con distintas variaciones de una marca conocida, ciberataque en ciernes. “En el caso de DHL es sencillo, solamente hay que hacer un seguimiento automatizado de los dominios que se registran cada día”, señala Albors. Si aparecen recién llegados con diferentes apéndices —DHL-app— y terminaciones —.info, .space—, mal asunto. “En el caso de DHL hemos visto también que se estaban infectando algunas páginas legítimas para descargar desde ahí la aplicación, pero ha sido algo anecdótico”, añade el experto.

En el caso de la paquetera, Malware Hunter registró decenas de dominios de nueva creación. Y esas referencias a marcas conocidas, que buscan hacer más creíble el engaño, son precisamente lo que les delata. “Resulta extraño que una marca reconocida genere dominios sin ton ni son, en un breve espacio de tiempo y de forma casi aleatoria”, explica Albors. “También es verdad que ciertas empresas que se encargan de registrar dominios están adoptando políticas bastante laxas en cuanto a monitorización y a tumbar sus contenidos cuando se sabe que están propagando malware [programas maliciosos]”.

Desde IONOS, principal agente registrador de los dominios .es, explican que establecen chequeos para identificar posibles altas fraudulentas e incluyen en sus términos y condiciones políticas que les permiten retirar los sitios que incurran en abusos. Pero el control no es sencillo: “Es básicamente imposible detener esas campañas en el momento del registro. La razón es que la mayoría de los datos que emplean no son inventados, sino información de personas reales que los estafadores obtienen sin mucho esfuerzo del internet oscuro”, explica Thomas Keller, responsable de servicios de dominios en la compañía. Para el futuro, las esperanzas están puestas en sistemas de aprendizaje automático que detecten patrones sospechosos en las páginas de nueva creación.

Existencias cortas pero intensas

Cuanto más larga es la vida de esos dominios mayores son las posibilidades de que los virus que albergan se difundan. En general, viven deprisa. Se crean unas pocas horas de que comience la difusión de mensajes —correos electrónicos o SMS— y, tarde o temprano, acaban por ser retiradas, pero no mueren en vano. “Si aguantan unas horas o un día, pueden conseguir beneficios suficientes como para lanzar otra campaña a la semana siguiente”, explica Albors.

La clave es adelantarse a los envíos, detectar las anomalías en la generación de dominios y actualizar las soluciones de seguridad que inhabiliten las posibilidades de interacción con estas páginas. “La mayoría de las campañas de troyanos bancarios [programas maliciosos que abren la puerta de entrada a otros ] de los últimos meses las detectamos incluso antes de que se empezaran a descargar las muestras”, asegura el experto. La vigilancia es clave también en otros aspectos de la seguridad informática. Monitorizar las variaciones en el código de estas amenazas y mirar con lupa los movimientos que se desvían de los registros normales en la actividad de los usuarios permite a los expertos ir un paso por delante. “Es una batalla eterna que nunca ganaremos, pero estamos totalmente comprometidos a no perderla”, sentencia Keller.

¿Serviría de algo que todos estuviéramos sobre aviso? Albors no descarta que un nuevo modelo de comunicación para estos asuntos pueda servir para frenar el avance de campañas como la que recientemente suplantaba a Correos. “Ha funcionado demasiado bien. El mecanismo era muy similar al de campañas anteriores, pero ha caído mucha gente”, lamenta. Conocer las amenazas en circulación del mismo modo que sabemos de las alertas meteorológicas nos permitiría extremar las precauciones. “Hace falta que esta información sea algo más constante, más visible. Que llegue a todos los que están usando tecnología y sin tecnicismos”.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.