Casi se echa de menos la época en la que los virus buscaban destruir la información en las computadoras. Ahora es mucho peor. Hoy los programas y técnicas maliciosas buscan robar dinero. El sociópata que lanzaba un software dañino a la Red ha sido reemplazado por grupos organizados que infectan computadoras y móviles para robar credenciales bancarias y de comercio electrónico. Otra de las variantes intenta -y con desoladora frecuencia consigue- explotar los recursos de nuestro sistema: la conexión con Internet y el espacio de disco, para luego usar esas redes robot (botnets, en la jerga) para distribuir otros virus y publicidad no solicitada. Ese tiempo de red se alquila a terceros.

 

Los virus han mutado, en sintonía con los tiempos, y la diversidad abruma. Si hace 25 años existía un puñado de modos de ataque, hoy la lista llena volúmenes y los números cortan el aliento. La compañía de seguridad Kaspersky Labs consigna, basándose en estadísticas que recoge automáticamente, que en 2014 detectó más de 6000 millones de ataques, y que el 38% de los usuarios habían sufrido al menos un incidente de seguridad en la Web el último año.

Algunas formas de ataque son particularmente escalofriantes. Tal es el caso del ransomware, que creció 165% en el mundo en el primer trimestre del año, y ya ha llegado a la Argentina, según la empresa de seguridad Intel Security (ex McAfee). Este tipo de malware llega como un adjunto por correo electrónico e insta al usuario a abrirlo con alguna excusa apremiante. Si la persona le da doble clic se dispara un programa que encripta los documentos de la computadora, para luego pedir un rescate en bitcoins (moneda virtual). La suma equivale a unos 500 dólares.

El cuento del tío virtual

Gran parte de la metodología de los ataques informáticos de la actualidad se basa en lo que se conoce como ingeniería social. Es decir, trucos para convencer a las víctimas de abrir un archivo malicioso o instalarlo. Tal fue el caso del sonado virus que infectó más de 100.000 cuentas de Facebook en febrero pasado y que hace un par de semanas volvió a ser noticia. En el muro de los usuarios de la red social aparecía una publicación de alguno de sus contactos que prometía un video pornográfico. Los que intentaban verlo se encontraban con un aviso razonable: era necesario actualizar el reproductor de Flash. Los usuarios, sometidos a actualizaciones constantes, cayeron en la trampa y obedecieron la orden del pirata informático. Descargaron la supuesta actualización y la ejecutaron.

Nunca pudieron ver ningún video. En cambio, sus navegadores quedaron infectados con una extensión que publicaba en el muro de 20 de sus amigos en Facebook el mismo post del video para adultos. Algunos cayeron a su vez en la trampa y, unos minutos después, estaban propagando el ataque, sin siquiera darse cuenta. Y no era la primera vez.

En 2011, a los usuarios de Facebook se les ofreció la posibilidad de instalar el botón No me gusta en sus cuentas. Para eso, sólo debían copiar y pegar un fragmento de código en sus navegadores. Sin entender lo que ese código decía, los que obedecieron el pedido terminaron con sus cuentas infectadas y, de nuevo, propagando el ataque.

Pero detrás de esta ingeniería social hay mucho más que el ánimo de molestar. El virus del video pornográfico esconde, en realidad, un componente que lee lo que escribimos en el teclado. Así, es capaz de robarse contraseñas, números de tarjetas de crédito y datos para suplantar la identidad del usuario.

Otra de las amenazas activas en la Argentina es el phishing (jerga por fishing, «pescar» en inglés), que funciona del siguiente modo. La víctima recibe un mensaje de correo electrónico que, supuestamente, proviene del banco con el que opera. El aspecto de la comunicación es perfecto; nadie dudaría que se originó de forma legítima. En ese mail, la supuesta entidad bancaria alerta al cliente de que sus datos podrían haber sido comprometidos (es una de las muchas excusas) y lo urge a entrar a la banca online. Para mayor comodidad (ahí viene la trampa) le ofrece un link que lo llevará directo a la página de ingreso. La persona, asustada, da clic y, en efecto, la página a la que accede es la que ve todos los días al conectarse al home banking. Idéntica hasta el último pixel. Sólo que acaba de entrar en un sitio que simula ser un banco. El resto es previsible: cuando ponga su contraseña, el sitio fraudulento se la robará.

Lamentablemente, según el mismo estudio de Intel Security citado antes, el 97% de las personas en el nivel mundial es incapaz de identificar los mensajes de correo electrónico peligrosos. Los menores de 18 años en la región Asia-Pacífico -continúa el estudio- se desempeñaron mejor que los adultos, identificando 7 de cada 10, un promedio más aventajado del que obtuvieron los jóvenes en América del Norte y América latina, con 6 de 10.

Un segundo de reflexión

Es que resulta imposible vencer la ingeniería social instalando un antivirus o intentando discernir si ese mensaje tentador o atemorizante es legítimo. Existe, no obstante, un truco que, si se aplica sistemáticamente, puede desactivar estos engaños. Para entenderlo hay que observar cuál es el punto débil del delincuente informático. Para que la trampa funcione, sus víctimas deben ejecutar una acción. Darle doble clic a un adjunto, ir a un sitio, instalar un programa en la computadora o una app en el smartphone, copiar y pegar un fragmento de código, y sigue la lista.

Sin ese pequeño, en apariencia insignificante eslabón, no podrá infectar el equipo y su estrategia fracasará. Por eso, si un mensaje -cualquiera y en cualquier servicio- solicita que se ejecute una acción en nombre de alguna urgencia que nos afecta emocionalmente, entonces es una trampa. Siempre.

Como el delincuente convencional, el que ataca computadoras va donde el público se reúne. Así, los móviles están también bajo fuego. El estudio de Kaspersky mencionado antes detectó más de 4,6 millones de paquetes de instalación de programas móviles maliciosos. Entre noviembre de 2013 y octubre del año pasado, la compañía había identificado casi 1,4 millones de ataques. En el mismo período de 2012-2013 ese número había sido de 335.000.

La buena noticia -si acaso- es que los criterios que ayudan a prevenir incidentes en las demás plataformas también es de utilidad aquí. En especial aquello que concierne a la ingeniería social.

Sólo el comienzo

Pero la batalla contra el crimen informático organizado no ha hecho sino empezar. Un documento técnico de Cristian Borghello sobre cibercrimen bancario, que la compañía de seguridad ZMA ofreció a LA NACION, es palmario. «El malware puede ser detectado y eliminado por los antivirus pero, debido a las ganancias exorbitantes de los delincuentes, la innovación y evolución del malware, el juego del gato y el ratón es cada vez más sólo el juego del ratón», dice Borghello luego de analizar nuevas técnicas usadas para robar información sensible de los usuarios.

Algunas de ellas -continúa Borghello- consiguen infectar el sistema operativo, el navegador o la aplicación móvil de la víctima y sortear de este modo el cifrado que hay entre el banco y el cliente o la autenticación en dos pasos (por ejemplo, por medio de un código enviado por SMS). Los delincuentes buscan también infectar las terminales de los puntos de venta y los cajeros automáticos. Los ingenieros de seguridad informática crean nuevas formas de defenderse y la batalla continuará, tal parece que por mucho tiempo. Entre tanto, sigue siendo aconsejable no ejecutar una acción que se nos pide con un pretexto urgente que nos tienta o nos asusta. Desde Troya para acá, este mecanismo ha permanecido inmutable.

Las técnicas más difundidas

Ransomware

El virus encripta los documentos del usuario y luego pide un rescate en bitcoins

Phishing

Un mensaje que parece ser del banco conduce a un sitio fraudulento que roba las credenciales

Botnet

La computadora es obligada, de forma subrepticia, a funcionar como parte de una red que el delincuente controla remotamente.