Seguridad en tiempos de COVID: “Los hackers son especialistas en aprovechar las tendencias emocionales”

La pandemia de coronavirus es el tema central que ha marcado el 2020 desde diferentes perspectivas: la sanitaria, la económica, la social, la política… y también desde el punto de vista de la seguridad.

Los ciberdelincuentes se han adaptado a la crisis y han instrumentalizado el miedo y la incertidumbre de los internautas respecto a la COVID-19 para diseñar sus campañas. El virus les ha servido de inspiración para lanzar sus ataques.

El informe Phishing and Fraud Report de F5 Labs desvela que los incidentes de phishing se incrementaron durante los momentos más duros de pandemia, coincidiendo con la primera ola de contagios, un 220 % a nivel global. Cuando termine el año, el incremento total habrá sido del 15 % respecto a los números registrados en 2019. Aunque la cifra final podría ser mayor si la actividad criminal se mantiene fuerte durante los últimos días de diciembre.

Estas campañas de phishing que giran en torno a la COVID-19 están configuradas para robar credenciales, instalar malware en los sistemas de las víctimas y estafar dinero con supuestas donaciones a organizaciones benéficas que resultan ser falsas. Las contraseñas se reutilizan durante las cuatro horas posteriores a los incidentes de seguridad que propician su robo y algunos ataques ocurren incluso en tiempo real, lo que permite capturar códigos de autenticación multifactor.

Los phishers se las han arreglado para lograr que sus páginas web fraudulentas se parezcan a las reales. Hasta un 72 % de los sitios de phishing utiliza certificados HTTPS válidos. Y todas las zonas de drop, esto es, un 100 % de los destinos de datos robados por malware, usan ya cifrado TLS. Sobre todo se está aprovechando el puerto 446.

Los ciberdelincuentes han intensificado esfuerzos en el registro de certificados digitales de confianza. Solamente en el mes de marzo, había casi 15 000 certificados que utilizaban los términos “covid” y “corona”, un 1102 % más que el mes previo.

Y la mayoría de los sitios de phishing (el 52 %, exactamente) no se corta a la hora de usurpar la identidad de marcas populares. Las marcas que están siendo más suplantadas son: Amazon, PayPal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram.

F5 Labs destaca que va en aumento el secuestro de URLs con buena reputación pero que son vulnerables. En este 2020, una quinta parte de las direcciones de phishing se corresponde con sitios diseñados con el gestor de contenidos WordPress. Hace tres años ese porcentaje era del 4,7 %.

Por otro lado, los atacantes buscan reducir costes acudiendo a registradores gratuitos para dominios de nivel superior geográficos. Hoy en día, .tk es el quinto dominio registrado más popular.

“El riesgo de ser víctima de phishing es ahora mayor que nunca”, concluye David Warburton, Senior Threat Evangelist en F5 Labs, que destaca el hecho de que los ciberdelincuentes usen “cada vez más certificados digitales para intentar que sus sitios web parezcan legítimos de cara al usuario”.

Granjas de clics y proxies

“Los hackers son especialistas en aprovechar las tendencias emocionales”, añade Warburton, “por lo que creemos que el COVID-19 va a seguir siendo por el momento una magnífica excusa para alimentar nuevas amenazas. Desgraciadamente, nuestra investigación indica que los controles de seguridad y la capacitación y concienciación general de los usuarios de todo el mundo siguen siendo insuficientes”.

Este especialista en seguridad cree que “los ataques de phishing seguirán teniendo éxito mientras haya un humano que pueda ser manipulado psicológicamente de alguna manera. Tanto los controles de seguridad como los navegadores web deben incrementar sus competencias para descubrir los sitios fraudulentos para los usuarios. Las personas y las organizaciones también deben recibir capacitación continua sobre las últimas técnicas utilizadas por los estafadores, como las relacionadas con el COVID-19″, aconseja.

De cara al futuro, los expertos prevén dos grandes radios malignos de acción. Los ciberdelincuentes basarán su trabajo en las granjas de clics para forzar inicios de sesión en páginas web.

También centrarán sus esfuerzos en proxies de phishing en tiempo real tipo Modlishka y Evilginx2 para interceptar transacciones y hacerse con códigos de autenticación y cookies.