• Home »
  • APP »
  • Un virus roba las contraseñas a clientes de bancos españoles. ¿Cómo evitarlo?
Un virus roba las contraseñas a clientes de bancos españoles. ¿Cómo evitarlo?

Un virus roba las contraseñas a clientes de bancos españoles. ¿Cómo evitarlo?

Se llama Trickbot, roba las credenciales bancarias de sus víctimas y diversas entidades españolas están en su lista de objetivos. De momento, y que se sepa, las entidades afectadas son Banc Sabadell, Kutxabank, Bancofar, Caja Sur, Caja Ingenieros y Ruralvía, pero la lista podría ampliarse en breve. Representantes de al menos tres de los bancos afectados aseguran haber sido víctimas de este intento de ataque aunque, de momento, afirman no haber detectado robos provocados por este nuevo ‘malware’.

Fernando Díaz, analista de la consultora Hispasec, ha sido el primero en ‘cazar’ una muestra de Trickbot programada para atacar bancos españoles. “Cayó en nuestra red de sensores”, explica. Trickbot es un troyano bancario cuya existencia se conoce desde el año pasado. Fue visto por primera vez en Australia y en poco tiempo se ha extendido por todo el mundo.

Trickbot viaja mayoritariamente en correos electrónicos que simulan ser una factura, denuncia, deuda o lo que sea que pegue un buen susto a la persona que lo recibe y la lleve a abrir, deprisa y sin pensar, el documento Word o Excel adjuntos. La muestra que encontró Fernando Díaz venía en un ‘mail’ escrito en inglés, con una falsa querella comercial adjunta. Posiblemente procedía de la reciente campaña de Trickbot en Reino Unido, pero se le habían añadido los bancos españoles en su lista de víctimas.

El ‘email’ se presenta como “una supuesta queja realizada sobre nuestra empresa por esta entidad”. Esto demuestra el interés por robar a empresas

Josep Albors, director de Investigación y Concienciación de ESET España, explica cómo funciona. “Los delincuentes se hacen pasar por el registro de empresas del Reino Unido, una entidad dependiente del Departamento de Comercio, Energía e Industrias estratégicas de ese país”. El ‘email’ se presenta como “una supuesta queja realizada sobre nuestra empresa por esta entidad”. Esto demuestra el interés del troyano por robar a empresas, con cuentas siempre más abultadas que los particulares.

Trickbot, hijo de Dyre
Y es que Trickbot podría pasar por un troyano bancario normal, como las decenas de miles que pululan por el ciberespacio, pero no tiene nada de inocente: su código se parece mucho al de Dyre, hoy desactivado y considerado el segundo troyano bancario más peligroso del mundo en sus tiempos, entre 2014 y 2015.

La banda rusa que lo operaba y que fue detenida a finales de 2015 robó decenas de millones de dólares y llegó a atacar a un millar de entidades bancarias como Bank of America, Citibank, JP Morgan Chase o Wells Fargo. En verano de 2015 se añadieron a esta lista 17 entidades españolas, lo que hizo saltar muchas alarmas en nuestro país. Según ‘Forbes’, Dyre fue responsable de una cuarta parte de todo el cibercrimen financiero de 2015.

Trickbot nació en 2016 y de momento ‘solo’ ha atacado a 76 entidades en todo el mundo, pero apunta maneras como ‘hijo’ de Dyre. “Detrás de su desarrollo podría estar el desarrollador de Dyre, lo que aporta cierta experiencia a esta nueva familia”, afirman desde el laboratorio de ‘malware’ de S2 Grupo.

Otra similitud entre Trickbot y Dyre es que ambos usan ‘routers’ (en el caso de Trickbot, de la marca Mikrotik) y dispositivos de la internet de las cosas, como cámaras web, previamente ‘hackeados’, a modo de centros de control de los virus. “Esto hace más difícil que puedan cerrarles la infraestructura”, explica Fernando Díaz.

Por el momento, Banc Sabadell y Kutxabank reconocen haber sido atacados, pero afirman no tener a clientes afectados

Desde estos dispositivos ‘hackeados’, los atacantes pueden mandar nuevos módulos a los virus, una característica también heredada de Dyre. Los módulos les dan un gran poder, pues ya no es necesario infectar otra vez a la víctima para añadir nuevas funcionalidades al virus, basta con instalarle un módulo, por ejemplo para robar determinados datos, desde el centro de control.

Pero, además, como explica S2 Grupo es su informe ‘Evolución de Trickbot’, no solo se pueden añadir nuevas características al virus gracias a los módulos, sino que es posible cambiarlo totalmente, que deje de ser un troyano bancario y se convierta, por ejemplo, en un ‘ransowmare’.

No actives los macros
Cosas como esta han puesto en alerta a los investigadores. “A nivel de código, está hecho bastante bien, casi profesional”, explica Díaz. En S2 Grupo preocupa además que se extiende como la pólvora. “Ha llegado a la versión 17 en menos de seis meses, se desarrolla a una gran velocidad”. José Rosell, socio-director del grupo, lo tiene claro: “En poco tiempo, Trickbot puede convertirse en una de las mayores ciberamenazas de los usuarios de la red”.

Por el momento, Banc Sabadell, Kutxabank y Bancofar afirman no tener a clientes afectados. Las dos primeras entidades han explicado a Teknautas que ya tenían detectada la amenaza, gracias a sus equipos de especialistas. Y, explican desde Kutxabank, “dado que el ‘phishing’ no se puede evitar, trabajamos en medidas de autenticación para evitar que tenga éxito”.

Juan Valdés, director de comunicación externa de Banc Sabadell, añade: “En su día ya comprobamos que las medidas de seguridad que tenemos desplegadas protegen a nuestros clientes ante este troyano”. Y recuerda que “la mayoría de entidades financieras disponemos de múltiples niveles de seguridad para proteger a los clientes, incluso en el caso extremo de que les fueran robadas sus claves de acceso y firma”.

Evitar a Trickbot no es tan difícil. Dado que el virus solo infecta si activamos las macros del documento adjunto que nos llega por correo, la solución es tan simple como, dice Albors, “concienciarnos de una vez por todas de la necesidad de no activar la ejecución de macros salvo que sea estrictamente necesario y de revisar todos los correos que parezcan tener carácter urgente las veces que sea necesario”.

Compartir