Spyware, el ciberataque silencioso que se vende desde US$ 100 en mercados negros

El caso más resaltante es el de Kaseya, el cual afectó a cientos de empresas alrededor del mundo e incluso a agencias gubernamentales de Estados Unidos. La compañía, cuyo nombre es Kaseya, otorgaba servicios de IT (Information Technology) para otras empresas que no podían costear este departamento a tiempo completo.

MIRA: ¿Qué es la “dark web” y es en realidad tan peligrosa como se dice?

Por ello, envíaban actualizaciones e información de manera constante. Sin embargo, uno de los archivos que enviaron fue un software malicioso. De acuerdo con The Guardian, este ciberataque afectó a entre 800 a 1.500 empresas, pero investigadores creen que el número pudo ascender hasta 2.000.

Afiliados del grupo hacker ruso REvil aseguraron que este era el responsable del ciberataque. Además, pidieron un pago de US$70 millones (más de S/.265 millones aproximadamente) para liberar el descifrador universal con el que podrían desbloquear todos los sistemas afectados.

Un caso más cercano sería el de Machete. Martina López, investigadora de ciberseguridad de ESET, relata que la empresa de ciberseguridad realizó una investigación sobre este caso de espionaje. “Justamente, se apuntaron a corporaciones de alto nivel y relacionadas también con entidades gubernamentales para realizar este espionaje con ningún objetivo monetario. Fueron directamente a robar información, pues no buscaron claves bancarias, ni similares, sino obtener información de las compañías”, indica, en entrevista con El Comercio.

Los objetivos de este virus son países latinoamericanos, siendo Venezuela, Colombia, Ecuador y Nicaragua los más afectados. Con más de 10 años robando información militar, este malware se sigue desarrollando, por lo que sus tácticas cambian con el paso del tiempo.

MIRA: ¿Descargas apps en tu celular del trabajo sin pedir permiso? Cuidado, podrías estar poniendo en riesgo a la empresa

¿Qué es realmente el spyware?

López señala que, como lo dice el nombre, el objetivo de este malware es espiar a la víctima. “Si hablamos de códigos espía, categorizamos a cualquier código malicioso que tenga como objetivo robar algún tipo de información del usuario. Ya sea credenciales bancarias, algún tipo de contacto externo, correos electrónicos, como información sensible enviadas por algún canal de comunicación. En caso de compañías, también pueden incluirse datos un poco más sensibles que los anteriores como la nómina de la de la corporación, hasta planos del edificio”, asegura.

Sin embargo, no significa que otros tipos de malware no tengan incorporado spyware, o usen tácticas parecidas. “En realidad, la mayoría de los códigos maliciosos más allá de si es nombrado como tal, tiene algún tipo de módulo de espionaje. Algo tan simple como robar credenciales se considera espionaje o como un código espía. Si bien no todos los códigos maliciosos son llamados spywares, sí es cierto que la mayoría de ellos tienen características similares”, afirma la investigadora.

Es decir, el spyware se puede usar solo, junto a otro malware o incluso durante un ataque. “La realidad es que, por la naturaleza de los códigos maliciosos, casi todos tienen alguna característica de espía y los convierte en spyware. Las categorías en las que ponemos a los códigos maliciosos no son contradictorias entre sí. Un mismo código malicioso, puede ser un ransomware y también puede ser un spyware. Hoy en día, la mayoría de códigos maliciosos caen en esta categoría de spyware y si revisamos cualquier ataque informático, de los más recientes, es muy probable que encontremos alguna de estas características; o módulos que hayan usado los cibercriminales, ya sea antes del ataque para obtener información de cómo ingresar, o incluso durante el mismo”, asevera.

MIRA: Cable O.MG Elite: ¿Por qué es tan temido este sencillo cable USB?

¿Cómo funciona el spyware?

De acuerdo con López, este malware tiene como objetivo quedarse en los dispositivos todo el tiempo que pueda. “La mayoría de los códigos que realizan espionaje tienen como objetivo permanecer en el equipo el mayor tiempo posible, con lo cual, van a hacer acciones muy silenciosas. Desde monitorear lo que escribimos en el teclado, conocido como keylogging, hasta sacar capturas de pantalla sin que el usuario sepa. Incluso, ver y grabar en tiempo real la pantalla del usuario o poder navegar entre sus sistemas de archivos”, indica.

Si bien las víctimas no detectan fácilmente que tienen spyware en su dispositivo, para el ciberdelincuente le es simple usar este tipo de malware. “Todo esto, generalmente, con una interfaz que para el cibercriminal es agradable. ¿Qué quiero decir con esto? Que generalmente este tipo de códigos maliciosos, cuando se comercian, se venden o se desarrollan, el cibercriminal de su lado ve una especie de terminal de control en donde puede acceder fácilmente a todas estas características. Desde exfiltrar archivos, hasta abrir la cámara y también el micrófono de la víctima”, agrega.

Debido a la ‘invisibilidad’ del spyware, los usuarios debe usar métodos de protección digitial. “En cuanto a detección, en primer lugar, estos tipos de códigos maliciosos son muy difíciles de detectar a priori, digamos, por el ojo humano. Porque su objetivo es justamente pasar desapercibido. Aquí es donde entran en juego las herramientas de seguridad, como puede ser una solución antivirus o antimalware. También algún tipo, en los casos corporativos, de firewall o protección de red. Para ver cómo es que esas computadoras se están comunicando a, quizás, un servidor en la otra parte del mundo, que es donde están filtrando la información”, añade la experta.

¿Cuánto podría costar el spyware como un servicio?

Algunos programas no llegan a ser malware, pero cumplen con todas las características. Estos se venden hasta en tiendas oficiales. “Hay casos registrados y venta de estos códigos maliciosos. Los más simples incluso por US$1 (S/.3,82 soles) o incluso menos. Vendidos también con otra categoría que quizás no es considerada spyware porque no cumple con ser un código malicioso, pero sí comparte muchísimas características, como estas aplicaciones de espionaje para parejas o para otras personas. Esas también se suelen vender. Incluso, ni siquiera en los mercados negros, sino en sitios de aplicaciones comunes y corrientes”, asegura López.

Al pasar desapercibido, se suele utilizar mucho para obtener dinero. “Es muy común ver el comercio de estas amenazas, particularmente spywares. Sobre todo aquellas que van dirigidas a alguna organización para poder robar información y luego presionar a esta compañía para una entrega de dinero, una suerte de ataque de ransomware, pero sin dejar, digamos, los archivos cifrados. También para venderlo a otros cibercriminales o, incluso, a la competencia de ese mismo rubro. La clave es que, hoy por hoy, la información es casi aún más valiosa que el dinero mismo. Es por esto que se pueden ver estas amenazas combinadas con otras como botnet. Es decir, generar varios códigos espías que se muevan dentro de la red y vayan infectando varias computadoras”, afirma.

MIRA: Perú recibió 5,2 mil millones de intentos de ciberataques en la primera mitad de 2022

Los costos del spyware como un servicio pueden parecer altos, a comparación de otros malwares. Sin embargo, las “ganancias” pueden ser enormes para los cibercriminales que lo usan. “Las unidades más completas incluyen desde, parece irónico, soporte por parte de quien lo vende, una suerte de mantención, poder controlar varios equipos al mismo tiempo. Puede llegar a costar de US$100 (S/.382), US$200 (S/.764) hasta US$500 (S/.1.910)”, señala la investigadora.

Además, estos kits incluyen otros tipos de servicios adicionales para realizar los ataques. “Incluso con esta ‘garantía’, con varios módulos también, no solo de registrar pulsaciones de teclado, sino de poder abrir la cámara, poder elevar privilegios, poder ingresar y moverse dentro de la red. Todas estas habilidades que quizás son un poco más complejas desde el lado de la programación. También de la ejecución del mismo podrían llegar a costar unos cuantos de cientos de dólares. Hoy en día, en el mercado negro, que más vale aclarar, se pagan en criptomonedas. Con lo cual, su precio siempre está al alza”, añade.

Las compañías que mueven dinero suelen ser las más atacadas. “Un ataque de altísimo nivel puede llevar a ganancias directas. En primer lugar, por robo de dinero. También si pensamos en la extorsión y el pago que puede realizar la víctima. Y ni hablar del dinero que le costaría al objetivo. Particularmente si es una compañía que mueve miles y miles de dólares, con lo cual, la ganancia es bastante evidente”, agrega.

MIRA: DeepFake: qué es y cómo se usó para robar la identidad del directivo de una importante plataforma de criptomonedas

¿Cualquiera puede ser víctima de spyware o solo empresas, entes gubernamentales y personas de alto perfil?

De acuerdo con López, los usuarios no deben desentenderse del spyware simplemente porque no tiene un cargo alto en una empresa. “Tenemos que pensar en que cualquiera de nosotros, seamos de un alto perfil en una organización o fuera de ella, o no, tenemos algún dato o información valiosa. Lógicamente, la información que probablemente tengamos nosotros, que quizás sea el ingreso a nuestras cuentas bancarias y que para nosotros es sensible, no va a significar el mismo rédito que ingresar a las cuentas de un banco o de una corporación de alto perfil”, asegura.

Existe una gran diferencia para los ataques a usuarios y entidades, pero no significa que solo estas últimas sean víctimas de spyware. “Sí es cierto que este tipo de ataques van cambiando. Para una corporación va a ser un ataque muchísimo más refinado. Incluso, con objetivos políticos, o de activismo también. Van a ser muchísimo más refinados, más pensados y más dirigidos que un ataque a un usuario común, pero existen de estas dos formas. Conviven en el universo cibercriminal”, indica la experta.

MIRA: El metaverso de los ciberdelincuentes: ¿qué es el darkverse y cuáles son sus peligros?

¿Cómo podemos prevenir los ataques de spyware?

Al ser un ataque silencioso, debemos tomar todas las medidas necesarias, incluyendo las más básicas. “El spyware es una amenaza un poco complicada por esta característica de querer pasar desapercibida. Con lo cual, es muy sencillo que una vez que nos infectemos quizá no nos demos cuenta que estamos siendo monitoreados. En primer lugar, lo más importante es evitar ejecutar y descargar archivos que no sepamos de dónde provienen”, asevera López.

Usualmente, las entidades suelen capacitar a sus empleados sobre ciberseguridad y su importancia en el trabajo. Sin embargo, los usuarios comunes podrían no conocer por qué no pueden realizar ciertas acciones sin precaución. “Particularmente los usuarios finales que no tienen ningún tipo de cláusula o de prohibición, como sí quizás lo tiene un colaborador dentro de una compañía. En esto se incluyen archivos que recibimos por correo electrónico. Una manera muy usual de poder realizar una infección de este código malicioso es por archivos en sitios de terceros que ofrezcan una actualización o una versión gratuita de un programa que conozcamos. En realidad, cualquier tipo de archivo que nos llegue por un medio no convencional y que realmente no sepamos ni quién lo envió o qué contenido tiene”, agrega.

La importancia de IT (Information Technology) en las empresas también se ve reflejada en cómo protegen su ciberseguridad, pues una simple actualización de un programa puede evitar una brecha. “En segundo lugar, y sobre todo en el caso de las organizaciones, lo cual es algo que falta todavía bastante en Latinoamérica, realizar las actualizaciones de los programas y sistemas operativos en cuestión. De los códigos maliciosos más recordados, en cuanto a lo que es el mundo empresarial, que también se pueden considerar spyware, se aprovechaban de vulnerabilidades que ya tenían una solución o parche disponible en el sitio del desarrollador. Pero, por una falta de actualización, ya sea por ignorancia de quien maneja los sistemas informáticos o porque no hay personal dedicado, no se realizaron esas actualizaciones y se dejaron los programas vulnerables a cualquier tipo de vía”, indica.

La inclusión de la protección digital en nuestros dispositivos y redes se vuelve vital para combatir el spyware. “Finalmente, contar con herramientas tecnológicas que ayuden y se complementen con la prevención. Esto de no poder distinguirlo con el ojo humano, realmente es importante. Con lo cual, no solo hace falta estar entrenados nosotros, como personas, sino también apoyarnos en herramientas tecnológicas que van desde un sistema antivirus o antimalware hasta algún tipo de protección de red firewall. Instalar reglas para que no se puedan comunicar con dispositivos o incluso países desconocidos y también soluciones como pueden ser de backups periódicos para recuperar información perdida, en el caso de que el spyware también tenga características de eliminar archivos para luego poder presionar a las víctimas”, concluye la investigadora.