Una serie de ataques y amenazas que han estado enfocadas en afectar empresas en Colombia fueron hallados en la más reciente investigación de Eset Latinoamérica llamada Operación Spalax.
“Encontramos desde campañas sencillas que tratan de suplantar identidades de bancos, pasando por campañas que se difunden por WhatsApp, hasta campañas más complejas que tratan de suplantar identidades oficiales, así como casos de ciberespionaje. Son muestras de las amenazas que están enfocadas en afectar usuarios y empresas en Colombia”, comentó Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica.
La investigación se concentró en los ataques que estaban dirigidos a compañías e instituciones gubernamentales en Colombia. En especial, encontraron que algunos de los objetivos más deseados por los delincuentes, son empresas de sectores de la energía y metalurgia.
“Si bien hemos avanzado mucho en cuanto a ciberseguridad, todavía hay disentimiento respecto a entender que se trata de grupos de delincuencia que están organizados y armados para atacar instituciones y personas en la región, desde distintas partes del mundo”, continuó Camilo Gutiérrez.
Como ya es usual en estos ataques, las organizaciones tienen toda una amplia cadena de distribución. No es sólo el envío de un enlace o archivo que el usuario abre, infecta el equipo y toman control del mismo. Tienen una serie de fases en las cuales la amenaza se va ejecutando, con lo cual, buscan lograr mejores ganancias.
“Usualmente todo arranca con un correo electrónico intentando suplantar algún tipo de identidad y por lo general vienen con un archivo adjunto, en la mayoría de ocasiones archivos PDF, que genera que se descarguen los archivos maliciosos. Hemos visto cómo han suplantado el sistema de tránsito a través del envío de supuestas multas, pero vienen usando diversas temáticas para sus delitos, así como las pruebas obligatorias en torno a la COVID-19 o supuestos problemas con aduanas nacionales”, afirmó el jefe de Laboratorio Eset Latinoamérica.
Y agregó: “Los ataques estaban enfocados en Colombia. Esto lo pudimos comprobar porque si ellos detectaban que el usuario a quien le enviaron el correo no se encontraban en el país, de inmediato el enlace los dirigía hacía la página oficial de www.bogota.gov.co para no levantar sospechas”.
Son correos donde supuestamente el usuario tiene una serie de problemas de impuestos, quizás líos judiciales y hasta embargo de sus cuentas para asustarlos y que abran los archivos.
Según Camilo Gutiérrez, “Las herramientas, las tácticas que utilizan estas organizaciones las están compartiendo para buscar mejorarlas y afectar a la mayor cantidad de personas, para lograr controlar sus equipos y tener acceso a las pulsaciones del teclado de la víctima, poder hacer capturas de pantalla, tener acceso a la cámara web y al micrófono, además de poder subir y descargar archivos de la máquina”.
Los ataques maliciosos se han ido incrementando. La cantidad de direcciones desde las cuales los delincuentes hacen sus ataques van haciendo pequeños cambios para ser más efectivos. El usuario puede ser víctima de grupos organizados y con los recursos necesarios para no dejar de atacar e innovar en sus formas.
El objetivo
En las instalaciones de Canadá de Eset lo que hacen es cazar amenazas, una de las tareas que realiza a diario Matías Porolli, Malware Researcher de ESET, y en ese día a día se encontró archivos maliciosos que utilizaba el nombre de una entidad gubernamental colombiana. En la medida que se relacionó ese archivo con otros maliciosos, se pudo comprobar que todos ellos eran dirigidos a Colombia y en un número bajo de equipos.
“En la medida que fuimos investigando encontramos que la infraestructura de los atacantes y las empresas blanco era mucho más grande de lo que encontramos inicialmente. Así vimos la magnitud de sus ataques y su infraestructura”, comentó Matías Porolli.
La investigación arrojó datos claves, como campañas de ataque cibernético, de todo tipo, dirigido directamente a Colombia. “Puede ser por motivos de espionaje gubernamental, quizás espionaje de un grupo de mercenarios que luego ofrece la información al mejor postor. Son actividades que están creciendo en América Latina y están aumentando los grupos de ciberdelincuentes que tienen acción en la región”, concluyó Matías.
Los antivirus le ayudan
Una de las claves de protección, además del cuidado de no abrir archivos que poco o nada tienen que ver con la persona a la cual le llega un aviso de multa de tránsito y no tiene automóvil, es contar con un antivirus actualizado que bloquee la amenaza que no deja ni abrir el archivo.
“Debemos prestas mucha atención a estos correos. Por más que el remitente parezca genuino, porque se puede falsificar, debemos prestar atención al enlace que se incluye y a dónde lleva, pues suele estar en lugares donde una comunicación oficial jamás podría. Debemos siempre estar alerta y, para ello, debemos ... conocer las nuevas amenazas”, afirmó Matías Porolli.
Los distintos grupos cibercriminales siempre tienen objetivos específicos, algunos atacando en búsqueda de dinero de manera directa y otros, dedicados al ciberespionaje. Es difícil determinar de dónde vienen los ataques al utilizar aplicaciones que usan criminales de distintas partes del mundo, con muchos servidores que han infectado en distintos países.
“Sólo hemos podido ver una porción de los ataques reales que se han presentado en Colombia, porque vemos las detecciones en las redes de nuestros clientes, pero no existen datos de cuántos ciberataques se han presentado en el país. Tenemos datos de identidades gubernamentales y empresas privadas centrados en la industria de la metalurgia y de producción de energía”, dijo Porolli.
Esta información se ha compartido con las autoridades colombianas, quienes son los encargados de investigar y perseguir a este tipo de organizaciones criminales. Sin duda alguna, la única alternativa será la colaboración internacional de los organismos de seguridad para atacar a estos cibercriminales.
