Lectura 3:00 min
Espionaje cibernético llega a las pymes
Kaspersky Lab advierte sobre la presencia de Grabit, una amenaza que permite espiar a las víctimas y robarles información.
Los gobiernos, grandes corporativos e individuos no son los únicos blancos de las campañas de espionaje electrónico. La firma de seguridad informática Kaspersky Lab, descubrió una campaña de espionaje en la que el principal blanco son las pequeñas y medianas empresas.
Se trata de Grabit, un ataque basado en un registrador de teclas y una serie de herramientas de acceso remoto para monitorear y robar la información de los equipos conectados a la red informática.
"Es una amenaza que permite espiar a las víctimas, el robo de información del disco duro, hacer screenshots, roba lo que el usuario está escribiendo en el teclado. Cuando analizamos el paquete de las víctimas, el objetivo eran las pymes a nivel mundial y los atacantes no están interesados tanto en el dinero como en la información financiera o de negocios, la cartera de los clientes, los planes de negocio, transacciones con bancos y otra información", dijo en entrevista Dmitry Bestuzhev, director de Investigación y Análisis para Kaspersky Lab.
La infección ocurre cuando un usuario de una organización recibe un correo electrónico con un enlace disfrazado de un archivo con formato de Microsoft Word (.doc) que al ser descargado, el programa de espionaje entra a la máquina desde un servidor remoto que ha sido hackeado y que sirve de concentrador de malware.
La firma de investigación identificó que un registrador de teclas en sólo uno de los servidores de comando y control fue capaz de robar 2,887 contraseñas, 1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros
"Se trata de espionaje empresarial, las empresas que han sido víctimas son privadas, y al analizar la información, los atacantes estaban interesados en bases de datos, en los sistemas de pagos, las transferencias, información que las empresas tienen internamente en sus propios sistemas informáticos", dijo Bestuzhev.
La campaña pudo robar cerca de 10,000 archivos de empresas pequeñas y medianas principalmente de Tailandia, India, y Estados Unidos. También figuran Emiratos Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka, Bélgica, y Chile, el único país latinoamericano identificado con infección.
La lista de los sectores objetivo incluye las áreas de la química, nanotecnología, educación, agricultura, medios, construcción y otros.
"Por lo pronto no existen víctimas en México pero la situación puede cambiar, dependiendo de la motivación de los atacantes. En Chile detectamos una víctima, de industria química que exporta productos a otros países. Es como un negocio que no sólo permite al atacante obtener los nombres de clientes, también es posible entender cómo funciona el negocio, operaciones financieras internacionales que también les interesa", explicó el experto.
La vulneración a pequeñas y medianas empresas debe ser visto con cautela además por su relación de proveeduría de servicios y contratistas tanto de grandes corporativos en sectores estratégicos como de gobierno, lo que podría abrir la puerta a vulneraciones de mayor escala, consideró aparte el director de Tecnología e Innovación de Trend Micro México, Juan Pablo Castro.
"Los criminales saben que las pymes son los principales contratistas de las grandes empresas de gobierno y corporativos por el tema de outsourcing, entonces es mucho más fácil que ellos entren a una pyme que hace un desarrollo, y saben que esa pymes se va a conectar con la otra empresa o gobierno, y ellos saltan desde una empresa a otra para realizar el ataque y así evaden todas las medidas de firewall y de seguridad", aseguró el experto.
La firma de seguridad Kaspersky Lab identificó como responsable del ataque Grabit a un grupo basado en Europa Occidental.
"Se está trabajando con las autoridades para arrestar a las personas. Por lo menos se tiene a un sospechoso identificado plenamente y probablemente se le pueda arrestar pronto", dijo Dmitry Bestuzhev, de Kaspersky Lab.