Buen día. Estamos viendo a nivel mundial, y por ende en Colombia, una creciente amenaza que pone en riesgo nuestra información, con todo lo que esto conlleva. Ya sea información personal, empresarial, privada, en fin, es nuestro bien más preciado y el más costoso hoy día. Les hablo del ransomware, una modalidad que no es nueva, viene de finales de los 80s y de la cual yo ya he hablado varias veces

El ransomware es un software malicioso y básicamente lo que hace es en primer lugar bloquear el equipo y luego restringir el acceso a los archivos (o a algunos en particular) pueden ser del computador o el Smartphone (mas en Android que iOS) y no deja acceder a ellos. Técnicamente “cifra” la información, es decir la hace ilegible. Para volver a recuperarla generalmente hay que pagar una cantidad de dinero. Por eso se habla de esta amenaza como “Secuestro de la Información”

Las principales formas de propagación o infección de este malware (software malintencionado) en los equipos son a través de adjuntos de correos electrónicos (camuflado), en algunos videos que al dar clic piden instalar un plugin tipo Flash, o incluso en actualizaciones de software como Adobe Reader o Flash. Existen otras formas un poco más complejas de contagio pero para efectos de cultura de seguridad digital, y pensando en el usuario de a pie, pues les quiero por hoy dejar algunas recomendaciones en cuanto al correo electrónico, siendo uno de los medios más usados por nosotros, y obviamente por los ciberdelincuentes para propagación.

Como decía, el correo electrónico es la forma más común de propagación ya que llega un mensaje con un adjunto que se pide descargar. Este adjunto viene con el “regalito”. Sería muy fácil confiar en que nuestro servicio de correo envía todo esto a SPAM, esa carpetica a donde llega toda la basura (¡o a veces no es basura!, por lo que de vez en cuando es bueno revisarla, de pronto encuentra el correo que buscó por más de un año) – perdón el paréntesis, seguimos – Lo que pasa es que hoy día los mensajes que llegan saltan los filtros de Spam de los servicios de correo y aparte vienen muy bien elaborados, de contactos o empresas reconocidas y con el uso de técnicas de ingeniería social. Miremos esta imagen de un correo que tengo para este tipo de pruebas.

Como pueden ver se han desquitado conmigo! ¡Que les he hecho! Jejejje. En fin, vayamos al asunto. Tengo correos “intimidantes” (ingeniería social) de la DIAN, de MOVISTAR, del SIMIT, y más para abajo siguen y siguen…

Todos son preocupantes en el sentido de que hacen parte de nuestro día a día, lo que de una u otra manera asusta, presiona, motiva al usuario a abrirlo. Por ejemplo la DIAN, con ese asunto “SU OBLIGACION CON EL ESTADO….¡huy! …. SE ENCUENTRA EN COBRO JURIDICO ¡nooo! …y rematan con (ULTIMO AVISO). Así quien no se preocupa. Analicemos uno de estos correos de la supuesta DIAN (miren que escribí “supuesta”, es un primer consejo, siempre que reciban un mensaje de una entidad así, piensen antes de asustarse en que “SUPUESTAMENTE” viene de ahí, así se prepara su reacción de una mejor y proactiva manera a futuro)

Bueno, aquí van algunas pistas que nos ayudan a determinar lo falso de estos mensajes y por ende cero estrés. Encontramos en A, que el correo viene de “asist_contabilidad@etecsa.com”, si es de la DIAN el correo debe venir de  @dian.gov.co, en este caso ni parecido, porque hay unos que vienen de @dian.gov.org, que se parece más pero que al igual no son legítimos, no debe terminar en org. Por cierto, etecsa.com es una empresa de servicios y soluciones hidráulicas. Mmmm. En los otros correos que me llegaron de la “DIAN” figuran enviados por comercial@efitrans.com (transporte de pasajeros), scretaria.tesoreria@cootrasena.com (cooperativa) este último venia incluso con el logo bien bonito en HD de la DIAN.

En B, que es el cuerpo del mensaje y que generalmente tienen el mismo aspecto, palabras fuertes “cobro jurídico”, “penalizado”, “último aviso” y generalmente “no responder”; además para dar más impacto y sensación de seguridad al usuario, al final aparece protegido con contraseña ¡que tal!

Son mensajes intimidantes, esto es cierto, y asustan, pero espero que después de leer este artículo se tenga un poco mas de calma y prudencia. Pero sigamos…

En C el archivo adjunto y es lo que hace peligroso el mensaje, porque en si abrir el mensaje, leerlo, reír un rato y cerrarlo no pasa nada, el quid es descargar este archivo y abrirlo! Ahí si está el problema. Es más, solo descargarlo y sin culpa por ahí se le da clic ! ¡ nooo!

Analizando el archivo (no hacerlo en casa) en primer lugar se ve que es un archivo tipo .rar (comprimido, empaquetado, etc). Esto hace que sea un poco más difícil la detección por los antivirus.

En Internet se encuentran páginas en donde podemos subir este archivo y estas realizan un análisis de malware con diversos antivirus. Una de estas páginas es www.virustotal.com, al subir este archivo vemos que no detecta ninguna amenaza (lobo disfrazado de oveja…)

Parecería inofensivo (0 detecciones), pero como en Internet hay que dudar de todo, pues quería saber que pasaba cuando abría el archivo, en pro del conocimiento (como digo, esto NO se hace en casa). Lo más curioso es que no mintieron. Efectivamente pide la contraseña 2017 para abrirlo!! jeje como para que el usuario diga “vaya, esto sí es seguridad”.

Al abrir, dar la contraseña y extraer del RAR, aparece un archivo tipo “aplicación” es decir, si le doy clic ahí, pues, el Armagedón! Bueno, algo así. Si es un reporte, cobro, multa, etc. debería ser un documento PDF, Word, imagen, etc, jamás una Aplicación. Ahora, de todos modos hay que tener cuidado con los PDFs, imágenes, etc. Ese será otro tema.

Ok, ahora procedo a subir este archivo a virustotal.com y el panorama cambia drásticamente:

Ahora ya encuentra 22 detecciones! es decir, 22 antivirus encuentren malware en el archivo. Y bueno, solo 22 de 62 antivirus lo detectaron…para pensar. Este archivo puede ser la entrada para el ransomware, como lo estamos viendo en el artículo, pero también para instalar troyanos de control remoto, es decir, activar la cámara web en la distancia, instalar un keylogger que capture todo lo que se escriba en el teclado, en fin, de todo.

En los otros correos, en el adjunto tratan de camuflar el nombre, por ejemplo, el de movistar viene con un adjunto “facturamovistar763894pdf.uue, como para engañar con el nombre PDF, pero al final es un RAR. La misma cosa

Como ven, estos adjuntos dejan claro que no hay que descargar nada! Estamos viendo precisamente como detectar lo falso de estos mensajes como para dejar muy claro que no hay que creer, ni siquiera un “¿será que es verdad?” Para nada! En este caso la DIAN deja un claro mensaje en su página, pero igual aplica para todo lo demás.

Entonces, primero calma, luego dudar, pero pues si aun son de los que dicen  “y que tal que sea cierto? no descargar naaada!! y luego si quiere comuníquense directamente con los operadores que dan las diversas paginas institucionales. O en este caso, hablen con su contador…como hago yo con mi contadora estrella, mi esposa, a la que llaman muy seguido sus clientes angustiados por estas cosillas.

Esta es entonces una de las principales formas de propagación del ransomware, un alto riesgo que se puede evitar al tener estas sencillas precauciones en los correos. Que no les pase a ustedes

Por cierto, me llegó esto ¿será que lo abro?

Hasta pronto