Los ciberataques son peligros que vienen en diferentes formas, se crean desde un aparentemente inocente correo electrónico y evolucionan a un malware gigantesco que puede llegar a destruir a una empresa.
Los infostealers son uno de los malwares más riesgosos, pues están al alcance de muchas personas, son sencillos de utilizar y tienen el poder de extraer información valiosa de los sistemas operativos empresariales.
Si quieres conocer más sobre ellos, te invitamos a que continúes leyendo esta nota.
Los infostealers, o ladrones de información en español, son un software malicioso que se vende como servicio a los ciberdelincuentes y tienen la utilidad de acceder a los sistemas y extraer información confidencial de credenciales, como contraseñas, claves o tokens.
Una de las características principales de este malware es que los ciberdelincuentes, a pesar de no contar con habilidades técnicas o conocimientos, pueden adquirir este servicio de software por un bajo costo y lanzar sus ataques fácilmente.
El infostealer se infiltra en el sistema informático de la víctima, sustrae su información y se la envía al atacante, el cual la puede utilizar para robar su identidad u otros propósitos maliciosos.
Dicha información sustraída incluye credenciales y, dado que estas pueden encontrarse en múltiples lugares, suelen robar el historial de navegación, billeteras criptográficas, etc.
Un dato interesante es que si no encuentran la contraseña que buscan en estos lugares pueden analizar los patrones de reutilización de contraseñas para adivinarla.
El proceso de acción de un infostealer muchas veces depende de la persona que lo implemente, pero básicamente consiste en los siguientes pasos:
El actor de amenazas distribuye el infostealer por medio de correos electrónicos fraudulentos que parecen legítimos (phishing), descargas maliciosas, explotación de vulnerabilidades o incluso dispositivos USB infectados. A continuación te explicaremos cada uno de los tipos de distribución.
Una vez distribuido el malware, los infostealers deben introducirse y comenzar a capturar la información requerida.
Estos softwares maliciosos utilizan técnicas de encriptación para ocultar su presencia y comportamiento malicioso, lo que les permite permanecer en el sistema sin ser detectados por los sistemas antivirus.
En este paso el infostealer toma el control del sistema y obtiene acceso a capturas de pantalla, pulsaciones de teclas, credenciales almacenadas, datos de autocompletar, memoria caché y cookies del navegador web.
Estas credenciales pueden proporcionar acceso a cuentas bancarias, correos electrónicos, y otros servicios en línea.
Las cookies del navegador, en específico, incluyen historiales de navegación, preferencias del usuario, datos de inicio de sesión y otra información personal.
El actor de la amenaza ve los resultados de su ataque en un panel de administración, el cual le arroja las credenciales robadas, información del sistema y datos de navegación de su víctima. Es decir que los sistemas infectados mandan los datos extraídos al servidor de comando y control de la amenaza.
El panel de administración también puede mostrar detalles sobre los sistemas comprometidos, como el nombre del host, la dirección IP, el sistema operativo y otra información relevante. Esto ayuda a los atacantes a tener una visión general de los dispositivos comprometidos y su entorno.
La manera en que los ejecutantes de infostealers se benefician es precisamente a través de esos datos robados. Con las credenciales bancarias, por ejemplo, pueden extraer el capital que se encuentre en las cuentas.
O bien realizar fraudes financieros más elaborados, como solicitar créditos, abrir cuentas bancarias falsas o realizar transacciones fraudulentas a nombre de la víctima.
En algunos casos, los datos robados pueden ser utilizados como una forma de extorsión mediante el ransomware. Los ciberdelincuentes pueden amenazar con hacer públicos los datos sensibles de la víctima a menos que se pague un rescate.
La información es muy valiosa, por lo que si las empresas no acceden a pagar lo que el ciberdelincuente demanda, este podrá colgarla en el mercado negro por precios sustanciosos.
Existen diversos tipos de infostealers, todos están disponibles para un público general y pueden ser adquiridos por distintos costos, a continuación te damos una visión general de los más famosos.
Redline es un infostealer que se especializa en dañar los sistemas de Windows, y tiene la capacidad de robar grandes volúmenes de datos confidenciales.
Como cualquier infostealer es un software como servicio, SaaS, y se vende a través de la dark web.
Lo que diferencia a Redline del resto de los infostealers es su capacidad de evadir los sistemas de detección antivirus de los programas.
Este infostealer tiene un gran público en el mercado pues promete maximizar el impacto de los ataques y el éxito de sus operaciones.
Este infostealer comenzó sus operaciones en 2019 y es accesible para que cualquier persona con un conocimiento básico pueda ejecutar un ataque.
Racoon se distribuye principalmente a través de correos de phishing pero sus métodos de propagación son diversos, lo que le permite alcanzar un amplio rango de víctimas potenciales.
Un infostealer que tiene la peculiaridad de distribuirse a través de métodos de ingeniería social es Vidar, este es utilizado principalmente para cometer fraudes financieros.
AZ0Rult es un malware que tiene funcionalidad múltiple, es decir que además de servir de infostealer se utiliza como un dropper (archivo que ejecuta otro malware).
Este infostealer tiene la capacidad de robar criptomonedas e instalar ransomware.
Si bien no es el más famoso de los infostealers, Metaestealer es el que saca más provecho de las víctimas pues no solo se encarga de robar datos de los usuarios finales sino que roba lo robado.
Esto quiere decir, por ejemplo, que si un infostealer Racoon y uno Vidar ejecutan sus acciones, el metastealer puede aprovechar ambos robos y arrebatarles dicha información para su propio beneficio.
El robo de credenciales e información confidencial por parte de los infostealers puede traer graves consecuencias para las empresas, pues con ellas los ladrones tienen la posibilidad de acceder a sus plataformas, correo electrónico, portales, servicios en la nube, etc.
Además se abre la posibilidad de que puedan robar datos confidenciales de los empleados o incluso de los clientes para venderlos en el mercado negro.
La propiedad intelectual queda en riesgo y para recuperarla las compañías pueden caer en estafas para que sus datos sean devueltos o desbloqueados.
Un infostealer que robe las credenciales de una billetera criptográfica, por ejemplo, puede transferirse todos los fondos de la misma, dejando vacía la cuenta de la empresa, lo cual le significaría una gran pérdida financiera.
Pero principalmente toda la información organizacional puede quedar disponible en el mercado negro/clandestino y al poseerla los criminales, causar daños en la reputación del negocio, además de cargos legales por quienes quedaron desprotegidos ante el ataque.
Cabe destacar que el impacto de los infostealers no se limita únicamente a las empresas, sino que también puede afectar a los usuarios individuales.
El robo de información confidencial puede tener repercusiones emocionales y psicológicas en las víctimas, incluyendo el estrés, la ansiedad y la pérdida de confianza en la seguridad en línea, debido al acoso que reciben por parte de sus atacantes.
Existen muchas maneras de protegerse de los malware. En el blog de Servnet hemos explorado algunas tácticas para un plan de ciberseguridad completo que pueden ayudarte a mejorar tus barreras ante los ataques, te recomendamos que leas las siguientes notas y tomes las herramientas en ellas para salvaguardar tus activos, datos y operaciones:
Aún así te compartimos a continuación medidas específicas para protegerte de un ataque infostealer.
La ciberseguridad es un conjunto de prácticas que deben emplearse persistente y exhaustivamente para poder funcionar. Requieren de disciplina, un trabajo conjunto y como tal una cultura del cuidado digital. Te compartimos 10 recomendaciones para proteger a tu empresa de los ataques de ladrones de información:
Los software obsoletos son peligrosos. Mantén monitoreadas tus aplicaciones y programas para verificar su correcto funcionamiento.
Aunque es preferible que las actualizaciones estén automatizadas para que se realicen de manera oportuna. Cabe aclarar que es importante que no se descuide la verificación humana de que todo está en orden, ya que en caso de detectar alguna vulnerabilidad, resulta necesario aplicar parches para corregirla.
Uno de los softwares más importantes a proteger, es por supuesto el del antivirus, pues es el que nos protegerá contra los ataques infostealers, que si bien mencionamos puede que algunos malwares estén diseñados para ser indetectables, el antivirus siempre debe estar por encima de ellos.
Incluso si un infostealer logra evadir la detección inicial, un programa antivirus activo y funcional puede ayudar a prevenir la propagación de infecciones secundarias al detectar y bloquear la actividad maliciosa antes de que cause un daño significativo.
Como revisamos con anterioridad, las credenciales son el blanco principal de los infostealers.
Usar un sistema de contraseña+autenticación multifactor, duplica la capa de protección para las claves. Además de que es recomendable no utilizar la misma contraseña en todas sus cuentas, pues como ya habíamos mencionado los patrones dan indicios para adivinarlas.
El acceso a la información confidencial debe ser asignado con minuciosidad y no ser compartido con quien sea, pues esto pondría en peligro a toda la empresa, para este paso puede utilizar llaves como controles de acceso y permisos de usuario.
La técnica phishing está diseñada para convencer a los usuarios de abrir, cliquear y descargar correos.
Aprender a detectar anomalías es una habilidad que deberán adquirir: si algo resulta sospechoso es mejor verificar cuidadosamente si la fuente e intenciones son legítimas antes de realizar cualquier acción.
Los infostealers, como su nombre lo indica, irán tras tu información, es por eso que resulta esencial que conserves un respaldo en caso de que estos la secuestren, pues si tardas en recuperarla, tus operaciones no se detendrán gracias a que aseguraste su continuidad.
Esta copia de seguridad debe enfocarse en los datos críticos. Su eficacia deberá ser probada pues de ella dependerá que tu empresa pueda seguir funcionando aún bajo ataque.
En tus objetivos y agenda empresariales debe estar que tu personal conozca acerca de las amenazas digitales y sus actualizaciones.
Recomendamos que lleves a cabo sesiones informativas de concientización, desarrolles políticas con pautas y procedimientos de seguridad y realices simulaciones que les permitan comprender cómo actuar.
El cuidado de la navegación también tiene cabida en tu plan de protección. Tener una VPN (Red Privada Virtual) te protege en línea y evita que tus datos sean interceptados.
Además de dar mantenimiento a la actualización y correcto funcionamiento de tu software. También deben supervisarse las cuentas y revisar si ha habido anomalías.
Las cuentas más importantes en este caso serán las financieras, por lo resulta indispensable tener un registro del historial de transacciones para verificar que no se hayan realizado cambios indebidos.
Todos los dispositivos deben estar bloqueados por una clave de acceso. Los datos almacenados en computadoras y teléfonos inteligentes deben estar codificados con una clave de cifrado que los mantenga ilegibles para quienes no tengan acceso.
Además de evitar descargar archivos de correos sospechosos, las descargas de aplicaciones deben hacerse únicamente desde tiendas oficiales de los desarrolladores o sitios seguros.
Aún con las medidas mencionadas, los infostealers, siendo un malware poderoso, pueden llegar a introducirse en tu sistema, si esto llega a pasar asegúrate de aislar el dispositivo o dispositivos infectados, investígalos e identifica los detalles del ataque.
Una vez detectado el problema es necesario remediarlo y proteger los entornos corporativos que podrían verse comprometidos.
Para contener el daño, limpia la infección y deshazte del malware rápidamente, alerta a todo el personal para que esté al pendiente de sus equipos y cuentas, y asegurarse de que no ha llegado a otros lados,
Una vez limpio el sistema, restablece las credenciales pertinentes.
Los infostealers representan una seria amenaza para las empresas, y pueden causar estragos financieros, reputacionales e incluso legales.
La diversidad de métodos de distribución y la disponibilidad de estos programas en el mercado negro hacen que sea crucial adoptar medidas de seguridad proactivas.
Tener en mente cómo protegerse minimizará el impacto negativo en la seguridad de las empresas.