Un ataque amenaza los ‘emails’ españoles suplantando a Correos

Un nuevo 'secuestro exprés' de datos fingiendo la recogida de un paquete postal ha sido enviado a miles de buzones electrónicos

Ver fotogalería
'Pantallazo' del correo infectado del ataque informático de hoy. PANDA

El ataque empezó a las siete de la mañana (hora española) de hoy. Miles de emails enviados a cuentas de correo con el mismo contenido. Un supuesto certificado de Correos para recoger un paquete que no había podido ser entregado a su dueño. Pero al descargar el archivo que adjunta los detalles del envío, el ordenador se infecta con un virus y todos los archivos de textos e imágenes quedan bloqueados. Si el usuario quiere recuperarlos, solo tiene una alternativa: pagar 299 euros en bitcoins por el secuestro exprés de sus datos. Aquí puedes ver cómo funciona la estafa en cuatro pantallazos.

Este ataque de hoy es solo el último en una moda entre los delincuentes informáticos conocida como ramsonware. El procedimiento es sencillo: el ordenador se infecta con un programa que codifica los datos que deseen atacar los piratas. Y luego se pide un rescate por recuperarlos. Normalmente, con cuenta atrás. En el caso del ataque de esta mañana, el afectado tiene tres días para pagar o se le doblará el precio. Si no paga, la clave que libera sus datos será borrada, quedando inaccesibles. "Y es casi imposible recuperarlos. Salvo que tengamos copia de seguridad. Pero estos criminales han diseñado ya estos virus para que, nada más infectar el ordenador, se borren todas las copias automáticas de seguridad de nuestros archivos", explica Luis Corrons Granel (Bilbao, 1975), director técnico de PandaLabs, el laboratorio encargado con lidiar con las amenazas informáticas de la empresa de antivirus, que ha detectado e informado de la amenaza esta mañana.

La metodología de los criminales es sofisticada. Corrons explica los detalles: "El envío de los emails infectados se hace una sola vez en una oleada por ataque. Suelen coordinarse desde varios países y atacar más de una región en el mundo, aunque en este caso solo lo hemos detectado en España. Exigen el pago en bitcoin y utilizan la red Tor para que no se les pueda rastrear. Y suelen pagar los rescates. Si no lo hicieran sus clientes (es decir, sus víctimas) probablemente no pagarían en un nuevo ataque". Panda detectó la presencia de esta infección cuando en su red de usuarios comenzó a presentarse un tipo de fichero nuevo. "Hay miles al día que pueden ser actualizaciones o malware. Pero es un aviso para investigar si hay un problema de seguridad".

Los criminales piden que el  usuario pague 299 euros para que recupere sus datos. Si no los ingresa en tres días, doblan la cuantía el rescate

La clave del éxito de la infección es lo preciso que sea el camuflaje de la institución o empresa a la que se suplanta. En este caso, la imitación de Correos tenía muchos fallos de redacción, lo que en opinión de Corrons indica que "probablemente" los delincuentes no sean españoles y hayan usado un programa de traducción online. Pero en otros aspectos, la copia está muy trabajada. Cuando se pincha en el link que adjunta el correo para revisar el estado del paquete, se abre una página clonada que cuenta con todos los elementos para que resulte creíble. Incluye incluso un captcha, el código para detectar que quien interactúa con una página es una persona y no un robot. Después de introducir los datos, se ofrece un archivo zip a descargar con un pdf en su interior. Pinchar en él es decirle adiós a los datos personales... Hasta que se pague el rescate. "El daño que te pueden hacer a nivel personal y profesional es brutal. En una empresa podría bloquear todos los archivos, tanto los personales como los compartidos. Y en el caso de un usuario, pues podrías perder todas las fotos de tus viajes o tu familia más los documentos de texto que tengas", detalla Corrons.

No es la primera vez que se suplanta la identidad de Correos. A finales de enero, piratas informáticos bloquearon 400.000 archivos del IFEMA utilizando la misma estrategia de clonación. En menos de un minuto, los archivos quedaron bloqueados por el virus Cryptolocker. En noviembre de 2013, la comisaría de policía de Swansea (Massachussetts) pagó 2 bitcoin (unos 449 euros) para liberar sus archivos. El Instituto Nacional de Ciberseguridad de España (INCIBE), institución dependiente del ministerio de Industria, Energía y Turismo, tiene una detallada web dedicada al ramsonware. "Aunque no están atacando constantemente, son de los que más daño están haciendo. Porque van directamente a por tus archivos", remata Corrons.

Más información