En mayo de 2023, ESET publicó un artículo titulado «You may not care where you download software from, but malware does», el cual sirve como un llamado de atención sobre los peligros de utilizar software descargado de las llamadas «fuentes de confianza» de software pirata. Por supuesto, esos archivos eran todo menos seguros y contenían programas maliciosos, como ransomware o infostealers, dirigidos específicamente a ese público. El objetivo es educar a las personas sobre los riesgos asociados y enseñarles a evitar esas aplicaciones peligrosas, fomentando la búsqueda de alternativas más seguras.

En el año transcurrido desde ese blogpost, las cosas no han mejorado mucho: De la lectura del Informe de Amenazas de ESET para la primera mitad de 2024, se ha observado un gran aumento en el número de ladrones de información detectados. Esta vez, no solo se encuentran integrados en juegos piratas de Windows, cracks y herramientas para hacer trampas, sino que también se disfrazan de herramientas de IA generativa. Además, su alcance no se limita a Windows. La familia de malware de robo de información GoldDigger opera en el sistema operativo Android, mientras que la campaña de malware Ebury lleva más de diez años sustrayendo tarjetas de crédito, criptomonedas y credenciales SSH en sistemas operativos tipo UNIX.

El análisis de las detecciones de infostealers en un lapso de dos años, desde agosto de 2022 hasta agosto de 2024, revela que estos permanecieron activos durante todo ese tiempo. Sin embargo, se observaron descensos significativos en la actividad alrededor de diciembre y enero de cada año.

Imagen 1.

Detecciones de Infostealer: de agosto de 2022 a agosto de 2024.

No estamos completamente seguros de la razón exacta detrás de esto, pero sospechamos que puede estar relacionado con un uso reducido de los ordenadores por parte de las víctimas o que los atacantes se toman un descanso durante las vacaciones. Esto se ha vuelto habitual a medida que los hackers independientes han evolucionado hacia organizaciones criminales estructuradas, similares a empresas.

ESET identifica numerosas familias de infosecuestradores, pero las diez principales constituyen más del 56% de los casos detectados por la empresa. Entre ellas, Agent Tesla destaca, representando un 16.2%.

Imagen 2.

Los diez principales infostealers, de agosto de 2022 a agosto de 2024.

Una consideración importante es que, aunque la mayoría de estas detecciones corresponden a malware diseñado para Windows, también existen ladrones de información que operan a través de la web. Aunque sus tasas de detección son más bajas, es posible que hayan logrado robar datos de personas que no utilizan el software de ESET, lo que podría aumentar su impacto.

Considerando que estas estadísticas provienen de los datos de telemetría de ESET, es probable que los resultados de otras empresas de seguridad varíen. Esto no implica que una sea superior a otra, sino que se debe a factores como la clasificación distinta de amenazas, la existencia de diferentes bases de clientes con variados perfiles de riesgo, el uso en diversas circunstancias y otros elementos.

Todo esto implica que todos tenemos la capacidad de reportar tasas de detección distintas para varios tipos de malware, como los programas espía.

Una de las cuestiones que me despertaba curiosidad era si los datos de ESET coincidían con los de otras empresas de seguridad. Por ejemplo, en su informe sobre tendencias de malware del segundo trimestre de 2024, el proveedor de sandbox ANY.RUN indicó que los ladrones de información pasaron del primer al cuarto puesto en comparación con el trimestre anterior. Sin embargo, esto no implica que exista una diferencia en la calidad de los datos entre ESET y ANY.RUN. Hay un amplio ecosistema de herramientas de seguridad, y dado que cada empresa utiliza sus herramientas de maneras muy distintas, es natural que se presenten este tipo de variaciones en los informes.

Robo de información por diversión, pero sobre todo con ánimo de lucro.

ESET agrupa a los ladrones de información en una categoría de amenazas específica llamada Infostealer. Anteriormente, se les clasificaba con términos más generales, como agente o troyano, hasta que el aumento en la cantidad de programas diseñados para el robo de información hizo necesario crear una denominación propia. Otros proveedores de software de seguridad pueden optar por clasificarlos de manera más amplia como troyanos de acceso remoto o spyware, lo cual es igualmente válido. La principal meta al detectar malware es, ante todo, prevenir su propagación. La nomenclatura de estas amenazas y las taxonomías en las que se encuadran suelen ser irrelevantes fuera de los ámbitos de investigación o marketing, especialmente en respuesta a un brote significativo de malware como WannaCryptor.

Así que, teniendo todo esto presente, ¿qué es un ladrón de información y qué sucede cuando se lleva a cabo uno?

Como su nombre indica, este tipo de malware se encarga de robar cualquier información que encuentre en tu ordenador y que su operador considere valiosa. No solo se trata de nombres de usuario y contraseñas de los diferentes sitios web a los que accedes a través de los navegadores instalados en el PC, sino también de aplicaciones. Las cuentas de juegos pueden ser robadas, despojadas de objetos valiosos, usadas para realizar compras de regalos o revendidas en su totalidad. Las cuentas de streaming, así como las de correo electrónico y redes sociales, también pueden ser objeto de reventa. Como «beneficio adicional», estas últimas pueden ser utilizadas para engañar a tus amigos en línea, incitándolos a descargar y ejecutar el ladrón de información, convirtiéndolos en nuevas víctimas y permitiendo que sus manipuladores continúen propagándolo a través de esas cuentas, de manera indefinida.

No sólo se roban nombres de usuario y contraseñas. Los monederos de criptomonedas pueden ser especialmente lucrativos, al igual que los tokens de sesión de cuenta. Por si fuera poco, el ladrón de información puede incluso hacer una captura de pantalla del escritorio en el momento en que se ejecutó para que su operador pueda vender la captura de pantalla y la dirección de correo electrónico a otros delincuentes para que envíen posteriormente correos electrónicos de extorsión.

En caso de que te estés preguntando qué es un testigo de sesión, algunos sitios web y aplicaciones cuentan con una función de «recordar este dispositivo» que te permite acceder al servicio sin necesidad de iniciar sesión nuevamente o ingresar tu segundo factor de autenticación. Esto se logra al almacenar un testigo de sesión en tu dispositivo. Se puede considerar como un tipo especializado de cookie del navegador que informa al sitio web visitado (o al servicio al que se accede a través de una aplicación) que el usuario se ha autenticado correctamente, permitiéndole el acceso. Los delincuentes están atentos a estos testigos, ya que les facilitan el acceso a una cuenta, eludiendo las verificaciones habituales. Desde la perspectiva del servicio, parece que estás ingresando desde tu dispositivo previamente autorizado.

El negocio del robo de información.

Los ladrones de información son un tipo de malware que frecuentemente se comercializa como un servicio. Esto significa que sus funciones específicas pueden variar dependiendo de lo que el delincuente que lo adquirió desea que busque y sustraiga. A menudo, se eliminan tras completar el robo de información, lo que complica la tarea de determinar qué ocurrió y cuándo. Si la víctima se siente tan abrumada por la invasión de su privacidad que retrasa la toma de medidas inmediatas, se les concede más tiempo a los delincuentes para usar o vender la información robada del ordenador.

Pero como los ladrones de información son crimeware-as-a-service, también es posible que se haya utilizado para instalar malware adicional en el sistema con el fin de mantener el acceso al mismo, por si los delincuentes deciden volver al ordenador en el futuro y ver si hay algo nuevo que robarle.

Recuperación tras un ataque de robo de información.

A menos que las unidades del ordenador deban conservarse como evidencia, lo primero que se debe hacer es formatear la unidad del ordenador y reinstalar su sistema operativo. Esto implica que el ordenador contaba con copias de seguridad regulares, por lo que eliminar su(s) unidad(es) y perder toda la información almacenada en ellas no representa un gran inconveniente, ya que está respaldada en otro lugar. Si ese no es el caso y hay información crucial y valiosa guardada en el ordenador, podría ser conveniente extraer la(s) unidad(es), reemplazarla(s) por una(s) nueva(s) y llevar a cabo una instalación limpia del sistema operativo en ella(s).También será fundamental obtener una carcasa externa para instalar la unidad y respaldar los datos que aún no han sido copiados.

Luego de limpiar el ordenador, instalar Windows, configurar el software de seguridad y actualizarlo, ya se puede comenzar a navegar por Internet utilizando el equipo. Esto permite cambiar las contraseñas de todas las cuentas en línea a las que se haya accedido desde este dispositivo.

Cada contraseña debe ser reemplazada por una que no solo sea compleja, sino también única para cada servicio. Simplemente cambiar Verano2024 por Otoño2024, o P@ssW0rd123 por P@ssW0rd1234, es un cambio que un atacante podría adivinar fácilmente tras examinar todas tus contraseñas comprometidas. De este modo, si una contraseña se pierde o se adivina, el atacante no podrá suponer cuáles podrían ser las demás contraseñas. Algunas suscripciones de ESET incluyen un gestor de contraseñas, o puede que tu navegador web cuente con uno incorporado. Además, ESET ofrece una herramienta gratuita para generar contraseñas complejas.

Activar la autenticación de dos factores (también conocida como autenticación multifactor) en todas las cuentas que lo permitan hará que sea mucho más complicado para los atacantes acceder a ellas en el futuro, incluso si conocen las contraseñas.

Al actualizar tus contraseñas, es fundamental que sean únicas y diferentes de las que has utilizado antes. Si las nuevas contraseñas son demasiado parecidas a las antiguas, existe una alta probabilidad de que un delincuente que tenga acceso a tus contraseñas previas pueda adivinar las nuevas para los diferentes servicios. Por lo tanto, asegúrate de no emplear contraseñas similares o anteriores.

Como se ha señalado anteriormente, no solo es necesario cambiar las contraseñas, sino también los tokens de sesión. Estos son el objetivo del malware que roba información, ya que permiten a los delincuentes suplantar tu identidad al secuestrar una de tus sesiones previamente autorizadas. Algunos sitios web y aplicaciones pueden mostrarte otras sesiones activas o dispositivos en los que has iniciado sesión, así como la opción de cerrar la sesión o desconectar esas sesiones. No olvides hacerlo también.

A riesgo de sonar redundante, es crucial realizar este proceso con todos y cada uno de los servicios en línea, incluso aquellos que no se usan con frecuencia. Esto es sumamente importante para sitios web financieros, tiendas en línea, redes sociales y cuentas de correo electrónico, ya que son los más atractivos para los delincuentes. Si existen contraseñas reutilizadas o patrones similares entre ellas, los delincuentes que han obtenido las credenciales intentarán utilizarlas en todas las tiendas, bancos y servicios que suelen emplearse.

Dos pasos cruciales que a menudo se pasan por alto al recuperarse de un robo de información son: (1) presentar una denuncia ante la policía, y (2) notificar a sus instituciones financieras. Informar a las autoridades sobre el delito puede ser fundamental para la recuperación de las cuentas comprometidas. En cuanto a las instituciones financieras, contar con una denuncia policial para compartir con ellas puede incrementar las posibilidades de recuperar los fondos sustraídos. Incluso si no se encuentra en Estados Unidos, presentar una denuncia ante el Internet Crime Complaint Center (IC3) puede ayudar a las fuerzas del orden a identificar y rastrear a los delincuentes que roban información.

Estrategias de protección.

Enfrentar las repercusiones de un ataque de un ladrón de información es un proceso arduo y doloroso que puede extenderse por días, semanas o incluso meses. Aunque hemos presentado los aspectos fundamentales para comenzar la recuperación tras este tipo de incidentes, los ladrones de información no son el único ni el más común método de robo de cuentas. Las cerraduras y llaves que protegen nuestras identidades en línea son los nombres de usuario (que a menudo son direcciones de correo electrónico) y las contraseñas; las violaciones de datos que involucran estos elementos son cada vez más frecuentes.

Tener protección contra el robo de identidad puede ser clave para reducir algunos de los efectos más negativos de este tipo de violación, pero, al igual que contar con una póliza de seguros (o realizar copias de seguridad de los datos de tu ordenador), Es una cuestión que muchas personas no consideran hasta que enfrentan una situación adversa.

Una excelente manera de comprobar si tu dirección de correo electrónico ha estado involucrada en una violación de datos es a través del sitio web Have I Been Pwned (HIBP), creado por Troy Hunt. Este sitio se actualiza constantemente con información sobre violaciones de datos a nivel mundial y te notificará si tu dirección ha sido encontrada en alguna de ellas. Aunque esto no implica necesariamente que tu cuenta de correo electrónico esté en peligro, sí podría indicar que la cuenta está vinculada al servicio donde ocurrió la filtración. HIBP ofrece su servicio de manera gratuita para usuarios individuales.

Las filtraciones de datos son complicadas de prevenir, ya que a menudo surgen de problemas de seguridad que involucran a terceros. Por otro lado, los robos de información suelen ser el resultado de comportamientos imprudentes. Aquí hay algunas acciones que puede implementar para minimizar el impacto y recuperarse con mayor rapidez de este tipo de ataques:

  • Utiliza contraseñas largas y únicas para cada sitio web y aplicación. Un gestor de contraseñas puede simplificar enormemente este proceso complicado.
  • Activa la autenticación de dos factores en todos los servicios que lo ofrezcan. Los tokens de hardware o las aplicaciones móviles son más seguros que las notificaciones por correo electrónico o SMS, ya que un atacante podría acceder a tu correo electrónico o smartphone.
  • Algunos servicios ofrecen la opción de visualizar todos los dispositivos conectados a tu cuenta. Es recomendable revisarlos de forma periódica y desactivar aquellos que no reconozcas o que no hayan estado activos durante un tiempo.
  • REWRITTEN: Emplee un servicio de monitoreo de violaciones de datos o de protección contra el robo de identidad para que le informe sobre las cuentas que han sido comprometidas.
  • NO utilices software pirata, cracks, keygens o herramientas similares por muy fiables que las consideres. Es trivial hacer que parezcan seguros y de confianza cuando los delincuentes han robado las cuentas que los califican.
  • Mantenga su sistema operativo y aplicaciones actualizadas con las versiones más recientes y completamente parcheadas.
  • Emplee la versión más reciente del software de seguridad de proveedores confiables y reconocidos.
  • Mantente informado sobre las últimas tendencias, desafíos y noticias de seguridad en tus blogs preferidos sobre la seguridad de la información.

Seguir estas sugerencias puede disminuir las probabilidades de ser víctima, o facilitar una recuperación más rápida si ya lo ha sido.

Fuente web: https://www.welivesecurity.com/es/seguridad-digital/infostealers-que-hacer-roban-informacion/