Vida y muerte de las webs fraudulentas: la mayor¨ªa duran menos que una mosca

La mosca de la fruta (drosophila melanogaster) es un organismo sencillo: tiene cuatro cromosomas y una fugaz esperanza de vida que en condiciones ideales alcanza los treinta d¨ªas. La mitad del enjambre de p¨¢ginas fraudulentas que revolotea por internet robando datos y credenciales a particulares y empresas duran menos que una mosca de la fruta. Concretamente, menos de siete d¨ªas. ¡°Si el gancho es bueno, da tiempo de hacer da?o. Los cibercriminales focalizan las campa?as en tem¨¢ticas locales como el d¨ªa del padre o el d¨ªa de pentecost¨¦s. Yo he visto algunas y las identifico porque me dedico a esto. Pero est¨¢n muy bien trabajadas¡±, explica Marc Rivero, investigador senior de seguridad del equipo GReAT de Kaspersky.

La firma de seguridad inform¨¢tica ha monitorizado m¨¢s de 5.307 p¨¢ginas de phishing ¨Csuplantaci¨®n de identidad¨C durante un mes para hacer un retrato del ciclo de vida de estos portales. Al cabo de 24 horas, 1.784 ya hab¨ªan dejado de existir. Un mes despu¨¦s, solo resist¨ªa un 28%. ?Qui¨¦n mata a las p¨¢ginas fraudulentas? Seg¨²n explica Rivero, en la mayor¨ªa de los casos son ejecutadas de forma preventiva por sus propios creadores: ¡°La t¨¢ctica que se utiliza ahora es hacer campa?as de muy corto tiempo pero muy efectivas a nivel de ingenier¨ªa social, con mensajes muy bien marcados y con mucha credibilidad, y en cuanto pueden, desactivan la estructura. Con esto consiguen que cuando un investigador se dispone a reportarles y aporta pruebas de lo que hab¨ªa en ese dominio, el que aloja el contenido no encuentra nada¡±. Quienes emplean esta t¨¦cnica pueden adem¨¢s activar y desactivar las p¨¢ginas a conveniencia.

Para extraer esta informaci¨®n, los investigadores recolectaron primero las p¨¢ginas fraudulentas. Despu¨¦s implementaron un programa de an¨¢lisis que verificaba sus enlaces cada dos horas y guardaba la respuesta obtenida. Acto seguido el contenido almacenado previamente se comparaba con lo obtenido en la nueva visita para detectar variaciones en los encabezados o en el tama?o del sitio. ¡°Esta informaci¨®n nos ayuda a conocer sus t¨¢cticas, t¨¦cnicas y procedimientos. Cambiar un dominio y una IP es f¨¢cil, pero cambiar el modo en que te comportas no lo es tanto. Si conseguimos hacer un perfil de los atacantes, podemos adelantarnos a sus pasos porque ya les conocemos¡±, explica Rivero.

?Las p¨¢ginas m¨¢s longevas son las m¨¢s exitosas? No necesariamente, explica Rivero, pero lo que s¨ª demuestra esto es la solidez de la industria que ha florecido en torno a estas pr¨¢cticas. ¡°Hay veces que los cibercriminales coinciden en colgar el contenido en servidores que ofrecen lo que se denomina alojamientos a prueba de balas¡±, se?ala. Las compa?¨ªas que ofertan estos servicios ubican sus servidores en jurisdicciones donde no existe la obligaci¨®n legal de dar de baja contenidos como una p¨¢gina fraudulenta. ¡°Garantizan a quien aloja el contenido all¨ª que van a ignorar totalmente las peticiones de las fuerzas de seguridad para que bloqueen ese contenido. Esas campa?as pueden durar a?os porque es muy complicado tumbarlas¡±. Lo que s¨ª puede ocurrir, por ejemplo, es que esos casos se reporten a los proveedores de servicios de internet y que estos mismos se encarguen de cortar los accesos o que los sistemas de reputaci¨®n del antivirus instalado adviertan al usuario.

Resistencia al cambio

De este repaso a la vida y muerte de las p¨¢ginas creadas para suplantar otras entidades se desprende algo m¨¢s que sus cortas existencias. Ninguna de las m¨¢s de 5.000 portales analizados por Kaspersky modific¨® la organizaci¨®n por la que se estaba haciendo pasar. Seg¨²n los investigadores, esta extra?a fidelidad responde a motivos pr¨¢cticos: si has registrado la direcci¨®n amaz0n.xyz para suplantar al gigante del comercio electr¨®nico, no tiene sentido que de un d¨ªa para otro el mismo enlace conduzca a la p¨¢gina de un banco. Lo mejor es abandonar el dominio existente y empezar desde cero con uno nuevo.

Esta reticencia a los cambios se ve tambi¨¦n en el apartado de contenidos: solo el 1,15% de las p¨¢ginas monitorizadas introdujeron alguna modificaci¨®n. Entre las que s¨ª lo hicieron destacan los sitios disfrazados de premios del videojuego PlayerUnknown¡¯s Battlegrounds, m¨¢s conocido como PUBG. Con cada nueva temporada de este t¨ªtulo se lanzan nuevos art¨ªculos y mec¨¢nicas que enriquecen el juego y que regalan dentro de la plataforma. Los cibercriminales interesados en robar y revender estas cuentas refuerzan la credibilidad de sus reclamos actualizando peri¨®dicamente los objetos regalados de manera que coincidan con las temporadas en curso.

Otros sitios que se esfuerzan en mantenerse al d¨ªa, y lo demuestran modificando espor¨¢dicamente sus contenidos, son los que se hacen pasar por p¨¢ginas de citas, o plataformas de correo electr¨®nico. ¡°Hace a?os las p¨¢ginas eran pobres, con faltas gramaticales. Ahora todo est¨¢ industrializado hasta el punto de que es muy f¨¢cil hacer phishing. Sin exagerarte, en 20 o 30 minutos puedes tener todo listo¡±, explica el experto de Kaspersky.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.