“La lucha contra el cibercrimen nunca tendrá fin”
Mientras la amenaza de Dyre continúa avanzando por el mundo, el Director Técnico de PandaLabs, Luis Corrons, nos explica cómo funciona este troyano.
La tranquilidad no existe en el mundo de la ciberseguridad como concepto permanente. Cuando se desarma una campaña con fines espurios, aparecen otras, de modo que las estafas siempre siguen acechando a los internautas de bien, que también van en aumento y que pueden conectarse para innumerables tareas desde diversos tipos de dispositivos. Quienes hayan abrazado una actividad muy concreta, la banca online, se encuentran en estos momentos en el punto de mira de una nueva amenaza que circula por el mundo con el objetivo de estafar al mayor número de víctimas posible. Se llama Dyre y se trata de un troyano bancario que está acostumbrado ya a acaparar titulares.
Varias compañías de seguridad han ido publicando actualizaciones sobre la evolución de Dyre durante los últimos meses. Ahora en Silicon Week hemos hablado con la empresa española Panda Security para evaluar el alcance de la situación. Y, en concreto, hemos entrevistado a Luis Corrons, el Director Técnico del laboratorio de investigación de malware de Panda Security, conocido como PandaLabs. Corrons, que también es miembro de AMTSO y MUTE y colabora con WildList y con las fuerzas de seguridad, tiene más de quince años de experiencia en temas de antivirus y de seguridad informática.
– Cuando se habla de Dyre, suele salir a relucir el infame troyano Zeus. ¿En qué se parecen ambas amenazas? ¿Es adecuada su comparación?
Sí, es adecuada su comparación, y de hecho en cierta forma parte del éxito de Dyre viene de la desaparición de Zeus. En los últimos meses han sido ejecutadas acciones policiales que han acabado con la infraestructura de los troyanos bancarios más extendidos: GameOver Zeus, Shylock, Ramnit. Esto ha dejado a Dyre sin competidores, por lo que se ha posicionado como una de las mayores amenazas de este tipo.
– ¿Desde cuándo lleva activo el troyano Dyre? ¿Ha sufrido muchas “mutaciones” por el camino?
Desde junio de 2014. Dyre es un tipo de amenaza realmente compleja, además una vez que ha infectado tiene la capacidad de instalar nuevo malware con el que robar más información, o incluir el ordenador comprometido en una red de bots.
– Entrando un poco en detalle, ¿cuál es su patrón de ataque? ¿Cómo consigue engañar a sus víctimas y qué persigue?
Por lo que hemos visto hasta el momento, su principal vía de entrada es a través de mensajes de spam, en los que engaña al usuario para que bien ejecute un adjunto o bien pinche sobre un enlace malicioso incluido en el mensaje. Al hacer esto, nos infectamos con un pequeño troyano “downloader”, cuya principal función es instalar Dyre. Una vez en el equipo, el principal objetivo de Dyre es robar información de los clientes de banca online. En función de la variante el listado de bancos puede variar, llegando a monitorizar cientos de URLs diferentes pertenecientes a entidades bancarias de todo el mundo.
– Al principio su acción se concentraba en objetivos anglosajones. Desgraciadamente para países como el nuestro ya no es así. ¿En qué lugares está operativo en estos momentos?
Principalmente está activo en Norteamérica (EE.UU., Canadá y México), Europa (siendo Reino Unido uno de sus principales objetivos, sin olvidarse de los principales países europeos como Francia, Alemania o España), Australia, Malasia…
– ¿Qué grado de infección lleva aquí? Parece que ya hay una serie de entidades bancarias españolas en su lista…
Siendo un troyano bancario, busca los clientes de las grandes entidades bancarias de cada país ya que son las que más clientes tienen y por tanto es más probable que puedan infectar a uno de dichos clientes.
– Y estos clientes que se encuentran en mayor riesgo, ¿qué clase de usuarios son? ¿Es Dyre una amenaza mayor que otros ataques anteriores?
Dyre va a por usuarios de Windows, básicamente porque es la plataforma que más usuarios tiene. Podrían atacar otras plataformas, pero no les merece la pena el esfuerzo de desarrollo extra debido al menor número de usuarios en otros entornos. Dyre es una amenaza tan mala como las anteriores (Zeus, etc.) pero no la consideraría peor. Básicamente ha sustituido a las anteriores.
– ¿Se sabe quién está detrás de Dyre? O al menos, ¿hacia dónde se dirigen vuestras sospechas como expertos?
Parece bastante probable que quien está detrás de esta amenaza sea un grupo de delincuentes ruso o ucraniano.
– ¿Cómo se para una campaña como la de Dyre? ¿Es posible ponerle freno?
La forma definitiva de parar este tipo de campañas es deteniendo a los delincuentes que están detrás, algo que es muy complejo y puede llevar tiempo, pero en lo que las fuerzas de seguridad cada día son más eficaces.
– Lo mejor en estos casos es estar informados y aprender a reaccionar ante situaciones de ciberdelincuencia. ¿Qué mínimos de seguridad debemos exigir a las empresas que cuidan de nuestros datos? Por otra parte, ¿cómo deberían comportarse los usuarios para evitar caer en la trampa de Dyre? Y cuando uno ya ha caído, ¿qué puede hacer?
En el caso particular de Dyre, no están en riesgo nuestros datos que están alojados en empresas: básicamente se dedica a robar información y credenciales de acceso a la banca online de los usuarios infectados.
Como hemos explicado, Dyre es enviado mediante campañas de spam. Si conseguimos que los usuarios sean más desconfiados y no ejecuten ficheros que les lleguen en correos electrónicos de desconocidos, podrán evitar la infección.
Si ya has sido infectado, en primer lugar debemos limpiar nuestro ordenador. Para ello se puede utilizar alguna herramienta gratuita como Panda Cloud Cleaner.
En segundo lugar deberemos cambiar nuestras credenciales de acceso a la banca online por si han sido comprometidas.
– Hoy por hoy, ¿es seguro el negocio de la banca online? ¿Están las entidades bancarias preparadas para combatir este tipo de ataques?
Sí, el negocio de la banca online es muy seguro. Por eso los ciberdelincuentes van a por los clientes en lugar de a por las entidades financieras, ya que son ellos el eslabón más débil de la cadena.
Los bancos tienen sistemas de alerta y equipos de seguridad que son capaces de detectar movimientos sospechosos. Sin embargo debemos tener en cuenta que lo que los ciberdelincuentes hacen no es otra cosa que robar la identidad del cliente, para hacer ver al banco que es su cliente el que está haciendo la transacción, por lo que se convierte en un juego muy complejo ya que el banco no puede cancelar operaciones válidas de sus clientes, o corre el riesgo de que se vayan a otra entidad.
– ¿Cómo se espera que vaya evolucionando en los próximos años el panorama de la seguridad? ¿Tendrá fin esta batalla contra el cibercrimen?
Va a ir a más y a peor. La solución es aplicar medidas de seguridad radicales que dejen el mínimo espacio de maniobra a los atacantes. El reto es conseguirlo sin afectar a la usabilidad.
La lucha contra el cibercrimen nunca tendrá fin, del mismo modo que la lucha contra el crimen en el mundo real no tiene fin.