Todo empezó la segunda semana de mayo de 2017. WannaCry ya había hecho estragos en medio mundo: había colapsado el sistema informático de varios hospitales, organizaciones públicas y privadas y grandes multinacionales en todo el mundo. Y lo peor era que nadie sabía (o podía) parar la mayor catástrofe en la historia reciente de la ciberseguridad a nivel global.
Hasta que llegó Marcus Hutchins. Este jovencísimo investigador británico, de apenas 22 años, dio con la solución casi de casualidad. Tras desembalar el malware, se dio cuenta de que había un dominio al que acudía ese código: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Si el dominio estaba inhabilitado, el código infectaba automáticamente el equipo en el que estuviese funcionando, pero si el dominio se habilitaba, se evitaba la infección. Marcus Hutchins observó que ese dominio estaba libre, así que lo compró, lo puso a funcionar y evitó que WannaCry siguiese desestabilizando los sistemas informáticos de medio planeta. De un segundo para otro, Marcus se había convertido en un absoluto héroe a nivel mundial.
Pero toda historia tiene un reverso y esta no es una excepción. A comienzos de agosto de 2017, apenas tres meses desde su heroicidad, Hutchins fue detenido por el FBI (que poco antes le había hecho una oferta de trabajo) en un viaje a Estados Unidos. ¿La razón? El informático británico había sido el creador de Kronos, un malware que desde 2014 venía robando datos privados a clientes particulares de bancos de todo el mundo y que se había convertido en una de las mayores pesadillas de las entidades financieras. Hutchins confesó su delito y se declaró culpable de parte de los casi diez delitos de los que le acusaron.
El legado de Hutchins no era pequeño, precisamente: en 2018 apareció un troyano muy similar a Kronos, ahora denominado Osiris, que hacía básicamente lo mismo. El héroe se había convertido en villano en tan solo tres meses, y la repercusión de sus ciberdelitos sobrepasa, de largo, la gran labor que hizo cuando logró frenar WannaCry en su momento.
¿Cómo funcionan Kronos y Osiris?
Kronos fue creado por Hutchins cuando apenas tenía 19 años. Su procedimiento y funcionamiento era el siguiente:
1.- Creación y venta. Lo creó en su propia casa junto a un amigo que le ayudó a la hora de elaborar todo el código. Hutchins no se encargó de atacar a bancos. Su acción pasó por acudir a mercados de la deep web, sobre todo a AlphaBay, para venderles el malware a diversos ciberdelincuentes.
2.- Infección. El malware de Kronos era enviado por los ciberdelincuentes en formato de archivo adjunto o incluso de enlace. Merced a sus víctimas, los desarrolladores conseguían las credenciales para acceder a las cuentas bancarias de los clientes de las entidades afectadas.
3.- Auge. Kronos venía actuando desde 2014, pero cobró un mayor auge en 2015, cuando IBM aseguró que el troyano había conseguido infiltrarse en el código de ciertos bancos, sobre todo en Gran Bretaña e India.
4.- Nueva versión. Tras unos años en silencio, Osiris recogió el testigo de Kronos y lo mejoró, volviendo a las campañas de phishing e incluyendo un exploit kit para poder debilitar la ciberseguridad financiera de las entidades bancarias.
Cómo evitar un ataque de este tipo
Los troyanos bancarios no son ni mucho menos una práctica aislada, sino que, de hecho, constituyen una tendencia al alza dentro del cibercrimen. Las compañías y organizaciones que quieran proteger su ciberseguridad empresarial y evitar que este tipo de malware afecte a las credenciales deben tomar las medidas oportunas:
1.- Concienciación. Lo hemos dicho muchas veces: los empleados suelen ser el eslabón más débil de la cadena de la ciberseguridad. Por eso es imprescindible que reciban, en primer lugar, la concienciación adecuada para no abrir emails sospechosos, no pinchar en un enlace cuyo destino se desconozca o no aceptar cualquier tipo de archivo adjunto; y en segundo, para activar un protocolo de actuación a fin de que en, caso de producirse una infección, el departamento correspondiente evite que pueda expandirse.
2.- Control de los procesos. La concienciación humana nunca podrá ser perfecta, así que las organizaciones deben saber en todo momento lo que está ocurriendo dentro de su red. Panda Adaptive Defense analiza y monitoriza en tiempo real y de manera automática los procesos del sistema informático de la compañía, no solo detectando cualquier intrusión, sino también analizando los comportamientos anómalos para evitar los problemas antes siquiera de que surjan. Tener visibilidad de todos los procesos permite detectar cualquier anomalía que entrañe riesgo para la seguridad informática de la compañía.
3.- Ciberseguridad estratégica. La ciberseguridad no puede ser solo competencia de un área concreta de la empresa, sino que debe estar presente en la configuración estratégica y de negocio de toda la compañía para que los problemas derivados de ella no supongan un coste añadido.
No se trata, en definitiva, de pensar que nunca va a haber posibles amenazas de ciberseguridad empresarial o ciberseguridad financiera, sino de ser conscientes del riesgo, convivir con él y, en consecuencia, habilitar las herramientas adecuadas para vigilarlo de cerca y eliminarlo antes de que sea una realidad. Actuar de manera proactiva y disponer de herramientas de ciberseguridad avanzada marca la diferencia, permitiendo a las organizaciones que el malware deje de ser un quebradero de cabeza.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
