El año 2020 ha comenzado con un protagonista claro en el mundo de la seguridad: el malware Emotet. Según ha comprobado el laboratorio ESET, ha vuelto a la carga con una serie de campañas que lo posicionan como una de las amenazas a tener en cuenta en los próximos meses. Además, las vulnerabilidades en productos de Microsoft volvieron a cobrar protagonismo durante las últimas semanas junto a varias campañas de phishing.
A mediados deenero, se volvió a detectar un envío masivo de correos electrónicos maliciososque propagaban este malware. Desde entonces, ESET ha estado haciendo un seguimiento delas nuevas variantes enviadas por los delincuentes para tratar de conseguirnuevas víctimas. Muchos de los correos analizados contenían asuntos yplantillas con referencias a facturas o documentos similares. Sin embargo,también se han observado numerosos casos que aprovechan asuntos y cadenas demensajes antiguas obtenidas desde cuentas de correo comprometidas.
Entre los casosmás destacados, se encontró un correo dirigido a 600 direcciones de emailcorrespondientes a miembros de las Naciones Unidas. En ese mensaje, losdelincuentes suplantan la identidad de la Misión Permanente de Noruega en esaorganización internacional. Por otro lado, en los últimos días, el uso delcoronavirus 2019-nCoV como asunto y plantilla también ha empezado a usarse en paísescomo Japón y no sería de extrañar que empezase a verse también en otros países.
En lo relativo aEspaña, nuestro país ha estado en el punto de mira de los delincuentes, especialmente,durante la semana del 13 al 19 de enero, cuando se observaron picos dedetección cercanos al 20 % del total de amenazas durante esos días relacionadoscon Emotet.
Algunas vulnerabilidades críticas en varios sistemas Windows de Microsoft
También en el mesde enero, en el que Windows 7 ha dejado de tener soporte oficial, se hadetectado problemas de seguridad en Microsoft. En un movimiento sinprecedentes, la NSA informó a Microsoft de la existencia de una vulnerabilidadcrítica en varios sistemas Windows del tipo spoofing que afectaba a MicrosoftCryptoAPI.
Esto permitiría aun atacante utilizar un código de certificado de firma fraudulento para así introducirun ejecutable malicioso y camuflarlo de forma que parezca venir desde unafuente de confianza. Esta vulnerabilidad fue solucionada poco tiempo después,justo cuando empezaba a ser explotada por diversos atacantes.
Tampoco fue laúnica vulnerabilidad en soluciones de Microsoft descubierta en enero. Otras dosvulnerabilidades consideradas también como críticas permitían a un atacanteejecutar un código de forma remota en servidores RDP y acceder a una red sinnecesidad de tener que pasar por un proceso de autenticación.
Para terminar elmes, la empresa de Redmond confirmó que los registros de 250 millones declientes del soporte técnico de Microsoft quedaron expuestos. Aunque no se hayadetectado todavía un uso malicioso de estos datos y, en la mayoría de casos, nose haya expuesto información que permita identificar personalmente a cada unode los clientes, la empresa ha decidido informar acerca de este incidente comoacto de transparencia.
El phishing sigue presente, pese a que es relativamente fácil evitarlo
Otra de lasamenazas clásicas que sigue muy presente es el phishing o suplantación deidentidad. ESET ha comprobado en los últimos meses cómo el número deincidencias relacionadas con el phishing se ha mantenido elevado, a pesar deque es relativamente fácil adoptar medidas para evitarlo.
Un clásico delphishing es el que se hace pasar por Netflix y nos invita a introducir nuestrosdatos de acceso y la información de nuestra tarjeta de crédito en una web quesuplanta a la original. Esta campaña se propagó entre usuarios españoles y deLatinoamérica a principios de mes y, aunque no estuviese especialmenteelaborada, seguramente consiguió los datos de más de un usuario desprevenido.
Los delincuentestambién aprovechan ciertas fechas para tematizar sus campañas de phishing. Aprincipios de año se detectectaron dos campañas con una temática parecida, quehacía referencia a la recepción de un paquete. La primera de ellas nos instabaa abonar el pago de un euro en concepto de envío de un Macbook Prosupuestamente obtenido en un sorteo. Por otra parte, un correo simulandoprovenir de Correos también nos invitaba a acceder a una web para realizar unpago que permitiese la entrega de un paquete. En ambos casos, la finalidadúltima era obtener los datos de la tarjeta de crédito de la víctima.
También laconocida red social de perfiles profesionales LinkedIn fue suplantada en otracampaña de phishing a finales de mes. Esta red es uno de los objetivosfavoritos de los delincuentes por la cantidad de perfiles y datos interesantesque se pueden obtener en ella. Sin embargo, esta campaña estaba plagada defallos: falta de personalización del mensaje, errores gramaticales e incluso unenlace a un sitio web falso que en nada se parecía al real. Esta circunstanciaha reducido su proyectada eficacia.