?Qu¨¦ ciberataque va a haber hoy? As¨ª se detectan las suplantaciones antes de que ocurran

A principios de la pasada semana, el colectivo Malware Hunter, que vigila las tendencias en la distribuci¨®n de programas maliciosos, lanz¨® una advertencia desde su cuenta de Twitter: ¡°Preparaos espa?oles. Los actores han comprado m¨²ltiples nuevos dominios para usarlos¡±. Esos ¡°actores¡± eran cibercriminales y esas p¨¢ginas, que simulaban ser de la empresa de paqueter¨ªa DHL, explicaban al usuario incauto c¨®mo descargar una aplicaci¨®n para hacer el seguimiento de un env¨ªo. ¡°La finalidad es b¨¢sicamente robar credenciales de aplicaciones de banca que tenga el usuario en su dispositivo y a partir de ah¨ª hacer transferencias de dinero a cuentas controladas por los delincuentes¡±, explica Josep Albors, experto en seguridad inform¨¢tica. Semanas antes, estas manzanas envenenadas iban disfrazadas de comunicaci¨®n de Correos, pero tambi¨¦n las hemos visto en forma de multas de la DGT, notificaciones de Hacienda e incluso informaciones relativas a las restricciones de la pandemia.

Para lanzar una campa?a de suplantaci¨®n -phishing-, los cibercriminales necesitan una p¨¢gina desde la que hacerlo e incluso a la que asociar las cuentas de correo electr¨®nico que van a emplear para distribuir sus intentos de enga?o. Por eso, vigilar la creaci¨®n de nuevos dominios se convierte en esa mirada que echamos al cielo para saber qu¨¦ tiempo va a hacer. Cielo enladrillado, suelo mojado; oleada de registros con distintas variaciones de una marca conocida, ciberataque en ciernes. ¡°En el caso de DHL es sencillo, solamente hay que hacer un seguimiento automatizado de los dominios que se registran cada d¨ªa¡±, se?ala Albors. Si aparecen reci¨¦n llegados con diferentes ap¨¦ndices ¡ªDHL-app¡ª y terminaciones ¡ª.info, .space¡ª, mal asunto. ¡°En el caso de DHL hemos visto tambi¨¦n que se estaban infectando algunas p¨¢ginas leg¨ªtimas para descargar desde ah¨ª la aplicaci¨®n, pero ha sido algo anecd¨®tico¡±, a?ade el experto.

En el caso de la paquetera, Malware Hunter registr¨® decenas de dominios de nueva creaci¨®n. Y esas referencias a marcas conocidas, que buscan hacer m¨¢s cre¨ªble el enga?o, son precisamente lo que les delata. ¡°Resulta extra?o que una marca reconocida genere dominios sin ton ni son, en un breve espacio de tiempo y de forma casi aleatoria¡±, explica Albors. ¡°Tambi¨¦n es verdad que ciertas empresas que se encargan de registrar dominios est¨¢n adoptando pol¨ªticas bastante laxas en cuanto a monitorizaci¨®n y a tumbar sus contenidos cuando se sabe que est¨¢n propagando malware [programas maliciosos]¡±.

Desde IONOS, principal agente registrador de los dominios .es, explican que establecen chequeos para identificar posibles altas fraudulentas e incluyen en sus t¨¦rminos y condiciones pol¨ªticas que les permiten retirar los sitios que incurran en abusos. Pero el control no es sencillo: ¡°Es b¨¢sicamente imposible detener esas campa?as en el momento del registro. La raz¨®n es que la mayor¨ªa de los datos que emplean no son inventados, sino informaci¨®n de personas reales que los estafadores obtienen sin mucho esfuerzo del internet oscuro¡±, explica Thomas Keller, responsable de servicios de dominios en la compa?¨ªa. Para el futuro, las esperanzas est¨¢n puestas en sistemas de aprendizaje autom¨¢tico que detecten patrones sospechosos en las p¨¢ginas de nueva creaci¨®n.

Existencias cortas pero intensas

Cuanto m¨¢s larga es la vida de esos dominios mayores son las posibilidades de que los virus que albergan se difundan. En general, viven deprisa. Se crean unas pocas horas de que comience la difusi¨®n de mensajes ¡ªcorreos electr¨®nicos o SMS¡ª y, tarde o temprano, acaban por ser retiradas, pero no mueren en vano. ¡°Si aguantan unas horas o un d¨ªa, pueden conseguir beneficios suficientes como para lanzar otra campa?a a la semana siguiente¡±, explica Albors.

La clave es adelantarse a los env¨ªos, detectar las anomal¨ªas en la generaci¨®n de dominios y actualizar las soluciones de seguridad que inhabiliten las posibilidades de interacci¨®n con estas p¨¢ginas. ¡°La mayor¨ªa de las campa?as de troyanos bancarios [programas maliciosos que abren la puerta de entrada a otros ] de los ¨²ltimos meses las detectamos incluso antes de que se empezaran a descargar las muestras¡±, asegura el experto. La vigilancia es clave tambi¨¦n en otros aspectos de la seguridad inform¨¢tica. Monitorizar las variaciones en el c¨®digo de estas amenazas y mirar con lupa los movimientos que se desv¨ªan de los registros normales en la actividad de los usuarios permite a los expertos ir un paso por delante. ¡°Es una batalla eterna que nunca ganaremos, pero estamos totalmente comprometidos a no perderla¡±, sentencia Keller.

?Servir¨ªa de algo que todos estuvi¨¦ramos sobre aviso? Albors no descarta que un nuevo modelo de comunicaci¨®n para estos asuntos pueda servir para frenar el avance de campa?as como la que recientemente suplantaba a Correos. ¡°Ha funcionado demasiado bien. El mecanismo era muy similar al de campa?as anteriores, pero ha ca¨ªdo mucha gente¡±, lamenta. Conocer las amenazas en circulaci¨®n del mismo modo que sabemos de las alertas meteorol¨®gicas nos permitir¨ªa extremar las precauciones. ¡°Hace falta que esta informaci¨®n sea algo m¨¢s constante, m¨¢s visible. Que llegue a todos los que est¨¢n usando tecnolog¨ªa y sin tecnicismos¡±.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.