El phishing ha cambiado. Poco a poco, pero sin pausa, los ciberdelincuentes están pasando a utilizar programas de robo de información.
El phishing tradicional no ha desaparecido. Ni mucho menos. Sin embargo, muchos atacantes ya no se centran únicamente en engañar a las víctimas para que introduzcan sus nombres de usuario y contraseñas en páginas de inicio de sesión falsas. En su lugar, utilizan programas de robo de información para recopilar de forma sigilosa contraseñas, cookies, datos del navegador y otra información confidencial de los dispositivos infectados.
Este método resulta atractivo porque se adapta bien a grandes escalas y reduce las dificultades. En lugar de depender de que la víctima introduzca sus credenciales en un sitio web falso, el malware puede recopilar datos de inicio de sesión ya guardados en los navegadores, tokens de sesión, datos de autocompletar, datos de carteras de criptomonedas e incluso archivos que contengan información útil.
Esto hace que la cadena de ataque sea menos visible. Un correo electrónico de phishing tradicional suele dejar pistas evidentes: un enlace sospechoso, una página de inicio de sesión falsa o un archivo adjunto extraño. Los programas de robo de información son diferentes. Pueden llegar a través de anuncios maliciosos en línea (malvertising), software pirateado, actualizaciones falsas del navegador, trucos para videojuegos o sitios de descarga dudosos y, una vez instalados, funcionan en segundo plano, robando todo lo que el dispositivo de la víctima tenga almacenado.
Parte de este cambio podría deberse a la generalización de la autenticación multifactorial (MFA). Al robar las cookies de sesión, los ciberdelincuentes pueden eludir la MFA y acceder así a las cuentas sin necesidad de una contraseña ni de un código de autenticación.
Otro factor es el auge del ecosistema del «malware como servicio» (MaaS). Los programas de robo de información son baratos de implementar, fáciles de ampliar y muy rentables. En lugar de crear ellos mismos una cadena de ataque completa, muchos delincuentes compran acceso a kits de robo de información, cargadores o servicios de acceso inicial ya preparados a proveedores del mercado negro. Esto reduce las barreras de entrada y permite que atacantes con menos conocimientos lleven a cabo operaciones de robo de credenciales.
En muchos casos, los programas de robo de información no son más que la primera fase de una operación delictiva de mayor envergadura. Los datos robados se recopilan, se empaquetan y se venden a otros delincuentes interesados en la información obtenida. Estos compradores pueden estar especializados en el fraude, la apropiación de cuentas, el compromiso del correo electrónico empresarial o el ransomware. Un solo equipo infectado puede generar múltiples fuentes de ingresos: credenciales para un comprador, cookies de sesión para otro y acceso a datos corporativos o de monederos electrónicos para un tercero.
Esa división del trabajo es una de las razones por las que los programas de robo de información se han vuelto tan persistentes. Los operadores pueden actualizar su código, rotar la infraestructura y lanzar nuevas campañas con un esfuerzo mínimo, mientras que los afiliados se encargan de la distribución mediante phishing, publicidad maliciosa, descargas falsas o señuelos en las redes sociales.
Cómo mantenerse seguro
Dado que los programas de robo de información suelen propagarse a través de publicidad maliciosa, actualizaciones falsas del navegador y descargas con un solo clic, conviene abordar los anuncios y las ventanas emergentes con un sano escepticismo. Mi consejo personal: nunca hagas clic en anuncios patrocinados. En su lugar, visita directamente los sitios web oficiales y descarga software únicamente de fuentes fiables, como los sitios web oficiales de los proveedores o las tiendas de aplicaciones.
Otra técnica cada vez más extendida es ClickFix, un ataque de ingeniería social que engaña a los usuarios para que infecten sus propios dispositivos. Nunca ejecutes comandos o scripts copiados de sitios web, correos electrónicos o mensajes, a menos que confíes en la fuente y comprendas el propósito de la acción. Si un sitio web te pide que ejecutes un comando o realices una acción técnica, consulta la documentación oficial o ponte en contacto con el servicio de asistencia antes de continuar.
¿Has cogido algo que no debías?
El software pirateado, los trucos para videojuegos y las herramientas crackeadas siguen siendo algunos de los métodos más habituales de distribución de programas de robo de información. Estas descargas suelen incluir malware que se instala junto con el software que realmente querías obtener. La misma precaución se aplica a muchas extensiones y complementos de navegador que prometen funciones adicionales o mayor comodidad. Limítate a utilizar extensiones de desarrolladores de confianza, revisa con atención las reseñas y los permisos, y evita instalar cualquier complemento que solicite más acceso del que razonablemente necesita.
Los correos electrónicos de phishing siguen siendo una amenaza importante, pero muchos de ellos se pueden detectar si te tomas tu tiempo y los compruebas antes de hacer clic. Aunque un correo parezca proceder de una marca de confianza, trata con precaución los archivos adjuntos y los enlaces no solicitados, sobre todo cuando te insten a abrir un archivo, instalar algo con urgencia o resolver un problema de facturación. Si no estás seguro, comprueba la dirección del remitente, busca errores ortográficos o expresiones extrañas y confirma la solicitud a través de un canal independiente, como el sitio web oficial de la empresa, en lugar de utilizar el enlace del correo electrónico.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
