Infolaft cubrió en vivo el desarrollo de un ataque informático en contra de una empresa del sector petrolero. La experiencia aquí narrada puede servir para entender por qué las personas caen en las trampas de los criminales y como una guía para saber qué hacer ante un evento de este tipo.
Por: Sergio Reyes Díaz
Durante un consejo de redacción realizado a principios de febrero el director de Infolaft propuso hacer un artículo sobre las estafas en línea.
El propósito fundamental era tratar de encontrar las razones por las cuales tantas personas son víctimas de los delincuentes que las contactan a través de mensajes de texto, de WhatsApp o de correos electrónicos, esto a pesar de los frecuentes llamados de las autoridades.
En ediciones anteriores ya habíamos publicado artículos acerca de cómo prevenir esta moderna modalidad delictiva y de cuáles son las principales características de los cibercriminales.
Pero esta vez el tema era más interesante: nos enfocaríamos en las víctimas y no en los victimarios.
Nuestro interés era conocer los hechos o situaciones que llevan a ciudadanos –muchos de ellos con altos niveles de estudio- a abrir o ejecutar archivos desconocidos en sus computadores.
Estaba buscando las fuentes cuando prácticamente la historia me cayó encima.
Una víctima cercana
Estaba viendo el noticiero Red Más Noticias con Sofía*, una persona de mi familia, cuando emitieron una nota en la que informaron que en menos de tres meses el presupuesto del municipio de Aguada, Santander, había desaparecido dos veces. La historia me llamó la atención.
Resulta que en septiembre de 2015 unos delincuentes habían desocupado las cuentas del municipio por medio de un virus informático.
Según la entrevista hecha a Juan Murillo, extesorero del pueblo, el robo superó los 1142 millones de pesos.
Ricardo Ariza, alcalde de Aguada, dijo a su turno que el presupuesto anual municipal rondaba los 3000 millones, con lo cual el robo equivalió a cerca del 40% del total.
Las posteriores investigaciones de la Fiscalía permitieron establecer que el dinero fue girado a cinco cuentas.
Al final, ocho personas fueron capturadas y el dinero fue devuelto al municipio por medio de un seguro que tenían con el banco.
La segunda pérdida del dinero se dio por un tecnicismo financiero, pero la primera modalidad (la del virus) fue la que me interesó.
Red Más Noticias es un noticiero que se caracteriza porque varias de sus notas son complementadas por análisis del economista Mauricio Reina.
Cuando acabó el informe sobre Aguada, Reina dijo que este caso ‘‘nos tiene que servir de experiencia a todos’’ porque la forma de robarse el dinero fue con ‘‘el truco más bobo y conocido’’.
Explicó que al correo del tesorero de Aguada llegó un anexo, él lo abrió, eso le contaminó el equipo sin que él cayera en la cuenta y cuando movió dinero, los delincuentes aprovecharon para robarse la información.
El caso me pareció conocido. Recordé una entrevista que realicé en febrero de 2015 al coronel Fredy Bautista, jefe del Centro Cibernético Policial (CCP).
En su momento me dijo que por desconocimiento, varios funcionarios de alcaldías de pequeños municipios solían abrir archivos comprimidos que infectaban sus computadores para luego robarles información contable.
Una víctima cercana, muy cercana
Seguí viendo la televisión y le dije a Sofía que era increíble que la gente siguiera cayendo en esos trucos.
Ella me miró con desconcierto y me contó que el primero de febrero de 2016 a su correo había llegado una supuesta comunicación de la Dirección de Impuestos y Aduanas Nacionales (Dian) en la que le solicitaron a su empresa ponerse al día con el pago de unas obligaciones.
Para conocer cuál era la mora le pidieron abrir un enlace en el que se ‘‘detalla los montos y los valores acordados según nuestra base datos’’.
Ella trató de abrir el archivo desde tres computadores distintos en su oficina, uno de ellos del área contable.
Al no poder acceder al supuesto enlace de la Dian ella le pidió a un compañero de trabajo abrir el archivo desde su equipo portátil, él dijo: ‘‘mejor no, porque de pronto es un virus’’.
-¿Y entonces qué hicieron?- pregunté.
-Le mandé el correo a una funcionaria de la Dian a la que conozco y ella me dijo que era falso.
Es más, la funcionaria le envió un comunicado de prensa de la Dian fechado el 22 de enero de 2016 en el que advertían de ‘‘la aparición en la red de nuevos mensajes fraudulentos’’ por medio de los correos asistencia@dian.gov.co, dian.cobro.juridico@gmail.com y dian.asesor.juridico@gmail.com.
Le pedí a Sofía que me dejara ver el correo fraudulento. Ella inició sesión en su computador de escritorio y pude ver que el correo que le enviaron el primero de febrero provenía de la dirección dian.asesor.juridico@gmail.com, la misma de la cual alertó la Dian.
-Esto puede ser grave. ¿Han hecho pagos o movimientos financieros desde esos equipos?- pregunté.
-No, hasta ahora nada.
Le recomendé que al día siguiente, cuando ella estuviera en su oficina, desconectara los tres computadores con el fin de separarlos de la red.
Ese consejo no se debió a una genialidad mía, lo supe gracias a una entrevista con Jorge Silva, entonces presidente de Microsoft Colombia.
En aquella ocasión le pregunté qué debía hacer un empresario que se percatara de un ataque informático y él contestó que se debe ‘‘aislar el virus o la amenaza, hacer una cuarentena virtual en el sentido de que si un computador está contaminado no puede estar conectado a la red, lo debe sacar hasta que lo pueda limpiar y hacer eso con todas las áreas de la empresa’’.
-¿Después de eso qué hago?- preguntó Sofía con bastante angustia.
-Deben correr el antivirus para ver qué detecta.
-Listo, gracias.
Ciberataque confirmado
Al día siguiente yo seguía pensando en el caso y me tomé la libertad de escribir un mensaje en Twitter a la cuenta del CAI Virtual de la Policía Nacional (@CAIVirtual), después de todo ellos son los expertos y pueden ayudar de mejor manera. Tomé un pantallazo del correo y les pregunté de qué se trataba.
Apenas minutos después me respondieron: ‘‘por favor reenvíenos el correo tal como lo recibió’’ y me suministraron una dirección de correo electrónico.
Hice el envío, pero no me percaté de que solamente les había enviado el pantallazo.
Pasaron cinco minutos y ellos dijeron de nuevo: ‘‘necesitamos urgente el correo original’’. Me alarmé aun más por la celeridad de la respuesta y esta vez sí envié el correo de la forma que ellos me pidieron.
La respuesta que recibí diez minutos después me preocupó todavía más y me confirmó que algo estaba mal: ‘‘por favor síganos para darle unas instrucciones vía mensaje directo’’. Los seguí.
Lo primero que me dijeron del CAI Virtual fue que ‘‘no cabe duda de que es un malware’’ y me aconsejaron: ‘‘mientras terminamos el análisis y lanzamos las alertas por favor cierren todas las cuentas que tengan abiertas en ese computador’’.
Punto seguido me recomendaron ingresar desde otro equipo y cambiar todas las contraseñas de los correos. También debía hacer un análisis completo de los equipos por medio de los antivirus.
Mientras chateaba con los funcionarios del CAI Virtual yo le iba remitiendo el conjunto de instrucciones a Sofía. Ella, gerente de calidad y de salud ocupacional, no podía creer en qué se había metido.
-¿Ustedes ejecutaron el archivo .EXE que está comprimido?- me preguntaron desde el CAI Virtual.
-Les dije que sí y que eso se había hecho desde tres computadores.
-¿Hay información sensible?
-En uno de ellos sí, información contable- les respondí.
-¿Ya realizó el escaneo completo del equipo?
-Estamos en el escaneo.
¿Qué tipo de virus se usó para el ataque?
Sentí la necesidad de saber más y les pregunté de qué categoría era este malware y qué buscaba. La respuesta fue seca pero contundente: ‘‘troyano, robo de información confidencial’’.
Aproximadamente 15 minutos después me informaron que ‘‘se trata de un correo malicioso ‘Malware’ AIT:Trojan.GenericTKA.132 acompañado de otro Trojan.Win32.Generic!O informando sobre falsas obligaciones por pagar’’.
Según el CAI Virtual, estos troyanos espías fueron diseñados para robar información confidencial de las víctimas, incluyendo nombres de usuarios, claves de acceso a la banca virtual y todo lo que se ingrese por teclado.
Ese malware era una mezcla entre un registrador de teclas (keylogger en inglés) y una puerta trasera (backdoor en inglés).
Básicamente el keylogger le permite al pirata informático obtener registro de todas las pulsaciones que se hacen en el teclado de un computador infectado, mientras que el backdoor es un elemento que garantiza el acceso remoto al computador infectado y por esa vía es posible extraer la información allí almacenada.
¿Por qué las personas caen en las trampas de los delincuentes?
Más allá de las características complejas del troyano, me inquietó el hecho de que un familiar –y más una profesional- hubiese sido víctima de un ataque informático de esta dimensión.
Lo cierto aquí fue que los delincuentes generaron un conflicto en Sofía al enviarle al correo electrónico corporativo un supuesto cobro jurídico de la Dian, cuando es cierto que esa empresa tiene unos compromisos pendientes.
Debido a ese antecedente ella bajó la guardia.
Y es que la forma en que están redactados los mensajes es una característica interesante del ciberdelito: estas comunicaciones contienen temas críticos que despiertan toda clase de emociones en sus víctimas.
En este caso fue el miedo, pero en otros puede ser lujuria, curiosidad o incluso ambición.
Hace varios meses viene circulando el siguiente mensaje, esta vez por WhatsApp: “Hola, soy Roberto. Viniendo de Ecuador me pararon en un retén en la frontera y me salió una orden de captura absurda. Prima, ahí va un camión con un trasteo y en la lavadora y el equipo (de sonido) van 240.000 dólares. El conductor se llama Luis, llámalo al 32064427**. Esta persona no sabe nada de lo que pasó ni de lo que lleva. Me toca entregar el celular, así que no podré volver a comunicarme en un tiempo. Confío en ti’’.
Este mensaje, por ejemplo, puede despertar la ambición del usuario que lo reciba y esta lo puede empujar a contactar al estafador. Después de hacerlo, está en sus manos.
Pero aquí bien vale preguntarse: ¿estos mensajes fraudulentos –como el recibido por Sofía- tienen blancos específicos o solo son terribles casualidades?
Ciberataques dirigidos
Las autoridades denominan como spear phishing a los ataques dirigidos y en varios escenarios han reconocido que vienen en aumento.
Estos se pueden dar, por ejemplo, cuando un exfuncionario desleal es contactado por delincuentes y este les entrega datos contables de la empresa, tales como fechas de pagos, características de los contratos o de su actividad comercial, nombres de clientes, entre otros.
Con esta información –que se podría conseguir también con ingeniería social- es relativamente fácil armar un buen argumento para lanzar un ataque informático.
Al preguntar al CAI Virtual si el mensaje fraudulento del correo de Sofía era dirigido, ellos sostuvieron que otros ciudadanos reportaron el mismo caso y que normalmente los ciberdelincuentes realizan campañas masivas en las que siempre suelen caer personas, razón por la cual se podría descartar un spear phishing.
-¿Qué antivirus utilizan ustedes?- me preguntaron del CAI Virtual.
Le pregunté a Sofía, ella no sabía y averiguó en la empresa. La respuesta que le dieron fue: ‘‘no hay antivirus’’. Así de simple.
Entonces del CAI Virtual recomendaron usar el Microsoft Essential Security, un antivirus gratuito que se puede instalar en los equipos que tengan Windows y que ha sido galardonado con importantes premios de seguridad informática, entre ellos el VB100 de Virus Bulletin, la certificación Checkmark de West Coast Labs. y la certificación de Icsa Labs.
En la empresa para la que Sofía trabaja hicieron el siguiente procedimiento luego de las recomendaciones del CAI Virtual: encendieron los computadores, les instalaron un antivirus licenciado (es decir, no el gratuito sino que compraron uno), ejecutaron análisis completos de cada equipo por medio del antivirus, eliminaron el malware cuando fue detectado, hicieron un back up de toda la información contenida en los equipos, y luego los formatearon.
Según un experto al que consultaron, fue muy importante ejecutar el antivirus y eliminar el malware de los computadores antes de hacer el back up, ya que se han presentado casos de empresas que, por darle prioridad a salvar su información, terminan guardando el malware en sus discos duros.
Luego de varios análisis y para fortuna de Sofía, se concluyó que los ciberdelincuentes no alcanzaron a extraer información sensible de la empresa.
No obstante, quedó el aprendizaje para toda la empresa de que el cibercrimen, a pesar de su naturaleza virtual, es una amenaza real que puede tocar a cualquiera, en el momento y de la forma menos esperada.
*Nombre modificado