Las filtraciones en la CIA y la NSA ponen en evidencia el uso de ciberarmas para el espionaje

El mes de abril tuvo como protagonista absoluto, en la industria de la ciberseguridad, a las filtraciones de las herramientas utilizadas por la CIA y por la NSA (Agencia de Seguridad Nacional de EE UU) en los últimos años. Estas revelaciones han servido, principalmente, para que se solucionen vulnerabilidades en aplicaciones y sistemas operativos, pero también para que aparezca nuevo malware.

Ya en marzo, Wikileaks empezó a filtrar una serie de documentos y herramientas pertenecientes principalmente a Vault 7, todo un arsenal preparado para ser utilizado en operaciones de espionaje. Y en abril, los responsables de Wikileaks han seguido revelando nueva información sobre este grupo de ciberarmas, que ha sido analizada minuciosamente en busca de posibles vulnerabilidades.

Algo similar le sucedió a la NSA. El grupo conocido como Shadow Brokers robó su arsenal particular de ciberarmas y lo subastó sin éxito. Pero, el pasado viernes 14 de abril, Shadow Brokers dió un golpe de timón y decidió publicar un enlace de descarga de varias herramientas interesantes, que no tardaron en ser analizadas por numerosos investigadores. “Lo más destacable de estas filtraciones fue descubrir que la NSA había desarrollado su propio marco de trabajo para ejecutar exploits en lugar de utilizar otros ya conocidos y asentados como Metasploit”, subraya Josep Albors, responsable de investigación y concienciación de Eset España.

Sorprendió sobremanera que Microsoft tuviera listos los parches de seguridad que solucionaban la mayoría de las vulnerabilidades que aún estaban activas tan solo un día después de que estas fueran publicadas, algo que muchos interpretaron como que ya estaba al tanto de la posible filtración.

El grupo Shadow Brokers robó el arsenal de ciberarmas de la NSA e intentó subastarlo sin éxito.

Desde el Laboratorio de Eset, la mayor empresa de seguridad informática con sede en la Unión Europea, se sigue observando una tendencia al alza en malware para Android, “si bien aún está lejos de la cantidad de amenazas que se generan para Windows, el crecimiento de las dirigidas a Android comienza a ser preocupante”, confirma Albors. “Una de las técnicas preferidas por los delincuentes es la de engañar a los usuarios para que instalen aplicaciones maliciosas en sus dispositivos, y durante el mes de abril tuvimos varios ejemplos de ello”, afirma.

A pesar de estar cada vez más en desuso, todavía hay muchos usuarios que buscan la manera de instalar el complemento Flash Player en sus dispositivos. Se trata de algo curioso porque Flash Player siempre estuvo integrado de forma gratuita en Android hasta que la plataforma prescindió de él por sus múltiples problemas de seguridad. “El engaño consiste en convencer a los usuarios para que terminen instalando un navegador gratuito compatible con este complemento, pero cobrando 18 euros por ello”, explica el director del Laboratorio de Eset.

Otra de las aplicaciones preferidas para propagar malware en dispositivos Android son los juegos. Los delincuentes aprovecharon la popularidad de Frontline Commando D-Day para ofrecer una supuesta versión con trucos y modificaciones. En lugar de descargarse desde el repositorio oficial, lo hacía desde un sitio de descarga controlado por los atacantes y la aplicación que instalaba permitía básicamente tomar control remoto del dispositivo.

Todo un clásico, como son las aplicaciones de linterna, volvieron a ser utilizadas para propagar malware durante las últimas semanas. En esta ocasión, la aplicación fraudulenta ocultaba un troyano bancario que recopilaba información del sistema y de las aplicaciones instaladas.

Además, los delincuentes no dejaron pasar la ocasión de la Semana Santa y aprovecharon para lanzar una nueva campaña de falsos cupones con motivos de Pascua. Un ejemplo fue la falsa campaña supuestamente lanzada por Ferrero Rocher a través de mensajes de WhatsApp, que pretendía que los usuarios se subscribiesen a servicios de SMS Premium.

Los engaños para descargar apps maliciosas siguen siendo tendencia en los dispositivos móviles

El incremento de las amenazas en dispositivos móviles no significa que los delincuentes hayan abandonado otras plataformas como Windows, ni mucho menos. Un ejemplo han sido las nuevas variantes de los ransomware Cerber y Karmen. Éstas no se conforman con infectar a miles de víctimas y demandar un rescate por sus archivos, sino que, además, se ofrecen como un servicio para los aprendices de criminales. “Por una módica cantidad, les proporcionan apoyo e instrucciones para que empiecen a conseguir víctimas por su cuenta, pese a tener conocimientos básicos de informática”, explica Albors.

Otra amenaza destacable del mes de abril fue Shaturbot, un troyano con funciones de puerta trasera que se propagaba por páginas de torrents. Este troyano infectaba a sus víctimas y las convertía en parte de una botnet que después utilizaba para atacar sitios webs creados con el conocido gestor de contenidos WordPress, intentando descubrir sus contraseñas por defecto por fuerza bruta.

Sin embargo, la amenaza más detectada por Eset durante el mes de abril fue Submelius, un malware que se propaga desde sitios web de dudosa reputación. Este malware se camufla de falsa extensión de Google Chrome y se queda instalado en el ordenador. A partir de ese momento, los usuarios son asediados con ventanas emergentes con falsas alertas y avisos mostrando publicidad o intentando que la víctima descargue algún tipo de código malicioso.

La nota curiosa del mes la puso un vibrador con Wifi, linterna y cámara. De nuevo, uno de estos dispositivos del Internet de las cosas es protagonista debido a la mala implantación de la seguridad, que permitiría saber qué usuarios disponen de un vibrador de este tipo, e incluso podrían intentar atacarlos y robar información de la víctima como fotografías y vídeos comprometidos.