A todos aquellos que tengan una página web les sonará el término FTP (del inglés ‘File Transfer Protocol’), un protocolo para transferir archivos a través de Internet. Si diseñas un ‘site’, tendrás que utilizar esta vía rápida para almacenar los archivos que quieras mostrar a los usuarios (páginas, fotografías, documentos, etc.) en un servidor.
Existen además varios tipos de programas que sirven para transportar los datos: son los llamados clientes FTP, encargados de conectar tu ordenador con el equipo donde se almacenará la información. Uno de los más usados es FileZilla, un software libre y gratuito al que recurren desde aficionados hasta profesionales del desarrollo web.
La primera versión del programa, desarrollado por Tim Kosse, se lanzó en 2001. Ahora puede ejecutarse en los sistemas operativos más generalizados (Windows, Linux y Mac OS X).
Si eres usuario habitual de esta herramienta, mantén los ojos bien abiertos: se ha detectado un malware en algunas de sus versiones (Filezilla v3.5.3 y Filezilla v3.7.3). La falsa aplicación se instala exactamente igual que la oficial; simula perfectamente la interfaz del asistente y funciona sin ningún problema.
La dinámica de los programas como FileZilla es sencilla: permiten ordenar los archivos de la web como si fuera un directorio más dentro de tu ordenador. En realidad estás gestionando un espacio en la memoria de otro equipo (o de varios, si trabajas con varios servidores). Puedes guardar los datos en diferentes carpetas y colocarlos a tu gusto.
A medida que añades documentos, se transfieren a ese otro disco duro, que puede estar ubicado en otro país. Aquí es donde entra en acción el software malicioso que se comporta como un troyano. Identifica cada conexión que realizas a tu servidor y se comunica con otro ordenador al que le envía la dirección donde has alojado la información y las credenciales de tu cuenta FTP.
Se han detectado algunas direcciones donde el malware transfiere los datos usurpados, ambas con dominio de Rusia. Dos de ellas son ‘aliserv2013.ru’ y ‘go-upload.ru’, creadas en el registrador de dominios Naunet.ru, asociado a actividades fraudulentas como el spam. Esta plataforma oculta la información de sus clientes e ignora las peticiones para suspender dominios ilegales.
Aunque esta versión fraudulenta funciona aparentemente igual que las seguras, tiene ciertas características que la delatan.
La principal diferencia radica en la información que aparece en la ventana ‘Acerca de’ del menú del programa.
En este apartado encontrarás unas referencias distintas en la opción ‘Enlazado contra’. En el software alterado, las versiones de ‘GnuTLS’ y ‘SQLite’ son anteriores a la oficial. Además, te encontrarás con que el programa no permite que las actualices de ninguna forma.
GnuTLS (de GNU Transport layer Security Library) y SQLite son dos sistemas que garantizan que una aplicación utilice una capa de comunicación segura (cifrada) para enviar datos. Ambos son también libres y gratuitos.
Con una versión desactualizada de estos dos software, nos arriesgamos a que un ciberdelicuente pueda monitorizar las credenciales del usuario que utiliza FileZilla, así como descifrar las conexiones supuestamente seguras que realice.
Otra de las diferencias con la versión libre de fallos es la presencia de dos librerías adicionales (ibgcc_s_dw2-1.dll y libstdc++-6.dll), aunque esto no parece tener efectos maliciosos.
Solo tienes que seguir estas pistas para saber si la versión que has instalado es una imitadora o la oficial. En cualquier caso, asegúrate de descargar los programas de uso abierto como FileZilla en un sitio que ofrezca garantías de seguridad.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
