Vida y muerte de las webs fraudulentas: la mayoría duran menos que una mosca

La mosca de la fruta (drosophila melanogaster) es un organismo sencillo: tiene cuatro cromosomas y una fugaz esperanza de vida que en condiciones ideales alcanza los treinta días. La mitad del enjambre de páginas fraudulentas que revolotea por internet robando datos y credenciales a particulares y empresas duran menos que una mosca de la fruta. Concretamente, menos de siete días. “Si el gancho es bueno, da tiempo de hacer daño. Los cibercriminales focalizan las campañas en temáticas locales como el día del padre o el día de pentecostés. Yo he visto algunas y las identifico porque me dedico a esto. Pero están muy bien trabajadas”, explica Marc Rivero, investigador senior de seguridad del equipo GReAT de Kaspersky.

La firma de seguridad informática ha monitorizado más de 5.307 páginas de phishing –suplantación de identidad– durante un mes para hacer un retrato del ciclo de vida de estos portales. Al cabo de 24 horas, 1.784 ya habían dejado de existir. Un mes después, solo resistía un 28%. ¿Quién mata a las páginas fraudulentas? Según explica Rivero, en la mayoría de los casos son ejecutadas de forma preventiva por sus propios creadores: “La táctica que se utiliza ahora es hacer campañas de muy corto tiempo pero muy efectivas a nivel de ingeniería social, con mensajes muy bien marcados y con mucha credibilidad, y en cuanto pueden, desactivan la estructura. Con esto consiguen que cuando un investigador se dispone a reportarles y aporta pruebas de lo que había en ese dominio, el que aloja el contenido no encuentra nada”. Quienes emplean esta técnica pueden además activar y desactivar las páginas a conveniencia.

Para extraer esta información, los investigadores recolectaron primero las páginas fraudulentas. Después implementaron un programa de análisis que verificaba sus enlaces cada dos horas y guardaba la respuesta obtenida. Acto seguido el contenido almacenado previamente se comparaba con lo obtenido en la nueva visita para detectar variaciones en los encabezados o en el tamaño del sitio. “Esta información nos ayuda a conocer sus tácticas, técnicas y procedimientos. Cambiar un dominio y una IP es fácil, pero cambiar el modo en que te comportas no lo es tanto. Si conseguimos hacer un perfil de los atacantes, podemos adelantarnos a sus pasos porque ya les conocemos”, explica Rivero.

¿Las páginas más longevas son las más exitosas? No necesariamente, explica Rivero, pero lo que sí demuestra esto es la solidez de la industria que ha florecido en torno a estas prácticas. “Hay veces que los cibercriminales coinciden en colgar el contenido en servidores que ofrecen lo que se denomina alojamientos a prueba de balas”, señala. Las compañías que ofertan estos servicios ubican sus servidores en jurisdicciones donde no existe la obligación legal de dar de baja contenidos como una página fraudulenta. “Garantizan a quien aloja el contenido allí que van a ignorar totalmente las peticiones de las fuerzas de seguridad para que bloqueen ese contenido. Esas campañas pueden durar años porque es muy complicado tumbarlas”. Lo que sí puede ocurrir, por ejemplo, es que esos casos se reporten a los proveedores de servicios de internet y que estos mismos se encarguen de cortar los accesos o que los sistemas de reputación del antivirus instalado adviertan al usuario.

Resistencia al cambio

De este repaso a la vida y muerte de las páginas creadas para suplantar otras entidades se desprende algo más que sus cortas existencias. Ninguna de las más de 5.000 portales analizados por Kaspersky modificó la organización por la que se estaba haciendo pasar. Según los investigadores, esta extraña fidelidad responde a motivos prácticos: si has registrado la dirección amaz0n.xyz para suplantar al gigante del comercio electrónico, no tiene sentido que de un día para otro el mismo enlace conduzca a la página de un banco. Lo mejor es abandonar el dominio existente y empezar desde cero con uno nuevo.

Esta reticencia a los cambios se ve también en el apartado de contenidos: solo el 1,15% de las páginas monitorizadas introdujeron alguna modificación. Entre las que sí lo hicieron destacan los sitios disfrazados de premios del videojuego PlayerUnknown’s Battlegrounds, más conocido como PUBG. Con cada nueva temporada de este título se lanzan nuevos artículos y mecánicas que enriquecen el juego y que regalan dentro de la plataforma. Los cibercriminales interesados en robar y revender estas cuentas refuerzan la credibilidad de sus reclamos actualizando periódicamente los objetos regalados de manera que coincidan con las temporadas en curso.

Otros sitios que se esfuerzan en mantenerse al día, y lo demuestran modificando esporádicamente sus contenidos, son los que se hacen pasar por páginas de citas, o plataformas de correo electrónico. “Hace años las páginas eran pobres, con faltas gramaticales. Ahora todo está industrializado hasta el punto de que es muy fácil hacer phishing. Sin exagerarte, en 20 o 30 minutos puedes tener todo listo”, explica el experto de Kaspersky.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.