Solo Japón y Estados Unidos detectaron más amenazas que España el pasado año según el tradicional informe de amenazas de ESET. El phishing se mantiene como el principal ataque, tanto a nivel mundial como en España, generando casi la tercera parte de las amenazas; siendo la explotación de vulnerabilidades antiguas la segunda fórmula preferida a nivel local, siendo protagonista del 15 % del malware frente al 22 % que prefiere el uso del tradicional phishing. Josep Albors, director de investigación y concienciación de ESET España, alertó de que en muchos casos los maleantes siguen explotando una vulnerabilidad de Office, presente desde noviembre de 2017. “Muchos profesionales siguen optando por esta versión de la suite, bien porque no quieren pagar por hacerlo, bien porque hacen uso de una versión pirata”, explicó. “Falta una concienciación acerca de la necesidad de que las empresas actualicen sus sistemas y sus aplicaciones”. En el primer semestre, crecieron las amenazas a servidores SQL y posteriormente a los protocolos de escritorio remoto que buscan acceder a las redes empresariales que no estén debidamente protegidas.
Otras particularidades en España es la actuación de los infostealers, que persiguen el robo de credenciales de correo electrónico y otros servicios de uso cotidiano, con Agent Tesla como “líder” absoluto, con el 38 % de las amenazas. Un método que ha servido para suplantar a bancos, universidades o empresas de logística, entre otras.
Infección de webs legítimas
Albors alertó sobre el incremento de las amenazas para atacar webs legítimas con código malicioso e infectar o robar los datos de los visitantes, que ha afectado, principalmente, a las tiendas online y a los blogs que utilizan un cierto gestor de contenidos. Se trata de códigos JavaScript maliciosos, principalmente variantes de JS/Agent, catalogado como SpyBanKer. “Engloba a varias familias de amenazas especializadas en el robo de las credenciales de las tarjetas de crédito”, explicó. ESET ha detectado un pico muy elevado el pasado mes de octubre, con un incremento del 111 % en este tipo de detecciones en la segunda parte del año. “No hace falta que el usuario descargue nada, solo es necesario que acceda a la web ya que todo se hace de forma transparente”. Unas amenazas que se han situado, a nivel global, en segunda posición (desde el número cinco) en la segunda parte del año.
Otra particularidad en España es la actuación de los infostealers, que persiguen el robo de credenciales de correo electrónico y otros servicios de uso cotidiano
La mayor parte de estas amenazas, explicó Albors, proceden de la variante JS/Agent.PHC, que se ha incrementado un 136 % entre julio y diciembre, respecto al primer semestre. España, tras Japón, ha sido el país más afectado, con el 8 %, comprometiendo a más de 14.500 webs a nivel mundial.
Junto a esta amenaza, la segunda en virulencia ha sido Balada (que aglutina a 39 variantes) y que provocó más de 900.000 vulnerabilidades en más de 30.000 webs comprometidas. “Los maleantes, en una gran parte, aprovecharon una vulnerabilidad detectada en 2023 en un complemento de WordPress”. En España se observaron graves picos de actividad en la segunda parte del año, incluso en verano, con una clara tendencia al alza. “Siguen utilizándose estafas relacionadas con los premios; también vinculadas con ciertas campañas o en la reserva de vacaciones”.
Ransomware y más…
En lo que respecta al ransomware, Albors señaló que se observa una tendencia al alza desde el mes de julio. “El ransomware, ahora, busca una mayor diversificación, con variantes menos elaboradas pero más efectivas”. Respecto a la fórmula, ya no usa el cifrado sino la extorsión, tras el robo de los datos, lo que hace esencial que “las empresas cuenten con sistemas de cifrado de los datos”. En los dos primeros puestos se ubican Stop ransomware, una familia que ha estado activa desde 2017 y que tiene muchas variantes; y BlackMatter, que representa a variantes actuales de LockBit 3.0, ya que sus creadores han incorporado partes de su código.
En el análisis de correos maliciosos, que sigue siendo uno de los principales vectores de ataque en España, se ha mantenido al alza durante todo el año, incluido el periodo estival. Un panorama que ha hecho crecer la detección de amenazas durante la segunda parte del año, lo “que es preocupante”. En el 75 % de los casos incluyen scripts y ejecutables. “Ha descendido el porcentaje de documentos de Word infectados”.
Para completar el mapa malicioso, Albors recordó las relacionadas con las criptomonedas, debido al incremento del valor del bitcoin; y el incremento de los fotomontajes, los vídeos deepfake y de las fake nudes gracias al uso de la inteligencia artificial; para suplantar la identidad de personas famosas, estafar a los usuarios o extorsionar a las víctimas. “Es un problema muy serio que va a seguir evolucionando. Todo apunta a que esto crezca en los próximos meses ya que es muy fácil acceder a estos servicios de IA”.
Por último, alertó del ataque de Pandora Box, que utiliza a los dispositivos Android, incluidas las televisiones, especialmente a los que ofrecen servicios de streaming a bajo precio, para instalar un malware y aprovechar los recursos de los usuarios para realizar tareas necesarias para sus fines como el robo de datos, la criptominería o la integración del dispositivo en una botnet para realizar ataques DDoS. Albors advirtió que es una amenaza que, aunque ha afectado, principalmente, a Latinoamérica, “tiene mucho margen de crecimiento en España”.
