«El objetivo de un ciberataque a los hospitales es hacerse con un rescate económico»

«El hecho de que los autores de la amenaza lancen ataques cibernéticos contra organizaciones sanitarias durante esta pandemia mundial está por debajo de las peores acciones que hemos visto de la mayoría de los grupos de software malicioso, es despiadado y podría causar un daño real y duradero. Estos servicios y sistemas son de importancia esencial mientras el mundo lucha por vencer este virus y protegernos a todos y cada uno de nosotros», explica Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.

Este incidente lo detectó la Policía Nacional tratando de colarse como información adjunta en correos electrónicos de sanitarios. Disfrazado de 'información sobre el Covid-19', pretendía tumbar el sistema informático de los centros médicos en plena crisis sanitaria. Se llama Netwalker y es un ransomware -secuestrador de datos-. Los expertos recomiendan al personal médico no abrir ningún correo sospechoso.

El coronavirus es la estrella de los bulos y el Ministerio del Interior alertó de una quincena de ciberestafas que utilizan como señuelo a la pandemia, de las que los expertos policiales destacan la peligrosidad de una web que ofrece falsos diagnósticos de la enfermedad, han informado fuentes de este departamento. Cualquier suceso de actualidad es aprovechado por los ciberdelincuentes para sacar el máximo provecho a las circunstancias. Tal y como alertó hace unos dias el Centro Criptológico Nacional, en estos momentos, existen registrados más de 24.000 dominios en Internet que contienen los términos coronavirus, corona-virus, covid19 y covid-19. De ellos, más de la mitad, 16.000, han sido creados en este mes de marzo (10.000 en los últimos diez días) y un alto porcentaje con fines maliciosos. Los cibercriminales utilizan estas palabras en sus comunicaciones para generar una reacción en su interlocutor.

El equipo de expertos de Entelgy Innotec Security, recuerda que es de vital importancia desconfiar de correos que anuncien vacunas o novedades del coronavirus desde un punto de vista emocional. «Esa información jamás llegará por email. Además es muy importante no abrir adjuntos ni acceder nunca a enlaces si estos parecen sospechosos«. Como usuarios siempre debemos evitar dar información personal o de pago aunque haya sido requerida por correo electrónico, por muy oficial que parezca». Los ciberdelincuentes son conscientes de que la población está muy preocupada y que van a acceder a toda la información relativa al coronavirus, incluso sin confirmar la fuente», afirma Félix Muñoz, Director de Entelgy Innotec Security.

Los expertos coinciden en que para evitar un ataque informático lo más importante es prevenir. «El primer paso es comprobar si se trata de un remitente desconocido, pero no pinchar bajo ningún concepto en los enlaces ni descargar ningún archivo y comprobar el texto se encuentran también entre las principales medidas de seguridad. Otra de las prácticas que se debe poner en marcha es la de contar con una herramienta de ciberseguridad que nos sirva de protección frente a archivos infectados, acceso a páginas web maliciosas, etc.», explica el director técnico de Check Point España, Eusebio Nieva.

Nieva ha señalado que, sin conocer a qué virus en concreto se refiere la Policía, desde su empresa de ciberseguridad han detectado intentos de ataque de 'ransomware' y 'malware' para tratar de «minar la estructura informática» en alguna de estas infraestructuras sanitarias. El objetivo que persiguen las personas detrás de este tipo de acciones es hacerse con un rescate, normalmente en forma moneda virtual como el Bitcoin, a cambio de devolver el control de los sistemas. «Lo único que buscan es sacar un beneficio económico», detalla.

En cuanto a las principales consecuencias derivadas de abrir uno de estos correos electrónicos «reside en que pone en riesgo la información y datos que pueda contener no sólo ese equipo, sino todos los dispositivos de un entorno médico conectado a una misma red». En otras palabras, en caso de abrir uno de estos mensajes el cibercriminal puede «modificar o eliminar toda la información de historiales médicos, bloquear los equipos e impedir el funcionamiento habitual del hospital…Todo esto podría generar un colapso de un hospital o, si esto se produce a gran escala, de todo el sistema sanitario».

En este sentido, Anurag Kahol, Director de Tecnología de Bitglass, apunta que «los registros médicos constituyen contenidos de alto valor en la Deep Web, ya que generalmente contienen información de identificación personal (PII), incluyendo el nombre completo del paciente, su dirección, información financiera, así como el número de la seguridad, entre otros. Este intento de filtración de estos datos sensibles pone en riesgo a los pacientes ya que, de llevarse a cabo, podrían haber sufrido un robo de identidad o un fraude financiero próximamente. Además, como consecuencia de esto, los centros médicos podrían haberse tenido que enfrentar a costosas sanciones por violar las normas de cumplimiento como la GDPR».

Desde Proofpoint avisan que «los cibercriminales se dirigen cada vez más a las personas, por correo electrónico, en lugar de a la infraestructura, Diversos estudios muestran que el 96% de los ciberataques tienen su origen en el correo electrónico. Son ataques dirigidos a personas y activados por personas. Las compañías necesitan implementar fuertes defensas de correo electrónico, funciones de bloqueo de amenazas entrantes y programas de formación sobre ciberseguridad para ayudar a los empleados a detectar e informar sobre correos electrónicos maliciosos».

¿Es posible detectar que estamos ante un documento malicioso antes de abrir el archivo? «Actualmente, los atacantes utilizan varias técnicas de forma conjunta para sobrepasar las distintas capas de protección que establecen las empresas y conseguir que sus amenazas lleguen al usuario final, que es quien en el 99% de los casos está activándolas. Las técnicas de ingeniería social que utilizan, combinadas con el sentido de urgencia o de importancia de determinados mensajes (como, en la actualidad, los que hacen referencia a información o temas relacionados con el Coronavirus), hacen que sea muy difícil para cualquier usuario que está desarrollando una tarea profesional darse cuenta de que está haciendo clic donde no debe», advierte Fernando Anaya.

En este sentido, Eusebio Nieva alerta de que «una de las clave es prestar atención al remitente, y si es un desconocido, establecer el primer nivel de alarma. Otra de las cosas imprescindibles para evitar un ataque es observar si el asunto tiene sentido o si el texto está bien escrito, por ejemplo, si la gramática no está correcta, es un motivo para desconfiar».

Los expertos coinciden también en la «concienciación» como clave, así como contar con «nociones básicas en conceptos de ciberseguridad». «La formación continuada puede reducir, aunque no eliminar, ese comportamiento de riesgo».

Las tecnologías de detección de Kaspersky ya reportaron a principio de febrero la detección de archivos maliciosos disfrazados de documentos relacionados con esta enfermedad. Los archivos maliciosos descubiertos fueron enmascarados bajo la apariencia de archivos pdf, mp4 o docx . Los nombres de los archivos dan a entender que contienen instrucciones en vídeo sobre cómo protegerse del virus, actualizaciones sobre la amenaza e incluso procedimientos de detección de virus, lo cual no es real. «A medida que la gente sigue preocupada por su salud, se seguirá propagando más malware oculto en documentos falsos sobre el coronavirus», comenta Anton Ivanov, analista de malware de Kaspersky.

Los piratas informáticos, a través del correo electrónico, están suplantando la identidad de entidades o remitentes fiables, como puede ser la OMS, instituciones sanitarias, empresas de logística, servicios técnicos de proveedores, Administración Pública... En estos emails utilizan información falsa sobre el coronavirus para llamar la atención del usuario, con buenas prácticas para prevenir el virus, informes de números de afectados, mapas de la situación, etc. De este modo, la gente abre y lee estos correos en los que se incluyen archivos infectados o enlaces a páginas web falsas donde les piden sus datos o la donación de dinero para apoyar la investigación de una vacuna que no existe, mientras los criminales aprovechan para robar información personal del usuario.

Con la llegada del coronavirus han surgido aplicaciones que supuestamente hacen un seguimiento sobre la evolución de las infecciones y mantienen al usuario informado, pero en realidad lo que hace es instalar en tu smartphone un software malicioso (ransomware) llamado CovidLock, que bloqueará el dispositivo y por el cual los hackers pedirán un rescate. Concretamente unos 90 euros en Bitcoins. Estas aplicaciones se encuentran en páginas webs y no en las tiendas oficiales de descarga de los diferentes sistemas operativos (que están bloqueando la mayoría de apps fraudulentas), por este motivo es importante verificar el origen y asegurarse de que sea de confianza antes de instalarlo en cualquier dispositivo.

Debido al confinamiento que estamos sufriendo son muchas las comunidades de vecinos que están llevando a cabo diferentes iniciativas para hacer la estancia en casa más llevadera. Un ejemplo sería el bingo comunitario, los aplausos en honor de los sanitarios, etc. Este tipo de acciones pueden ser un peligro en términos de privacidad si el usuario las graba y las comparte en redes sociales. Estas imágenes podrían ser utilizadas para averiguar la vivienda de esa persona y, una vez que pase la crisis y volvamos a la normalidad, averiguar cuándo está fuera (también a través de las redes sociales) y aprovechar para cometer un robo.

Llegan ocultos en archivos que no aportan ningún tipo de información útil sobre el coronavirus, pero que infectan los equipos informáticos. Un ejemplo de ello es el malware llamado AgentTesla Keylogger. Por otro lado, se ha identificado en Estados Unidos un ataque a través de correos falsificados de organismos oficiales que incluyen un adjunto con el título «resultados prueba». Éste se envía a empresas como compañías de seguros, lugares de atención médica y farmacéuticas y, cuando se descarga, se solicita al usuario una instalación que es la que hace que el ordenador se infecte con el troyano de acceso remoto conocido como «Koadic». Por último, también se ha detectado malware a través de mapas en los que se muestra el avance del coronavirus.