México, Brasil y Perú, polos de creación y maquila de malware en AL

Buenos Aires.- El robo de cajeros automáticos a través de ataques informáticos es una situación vigente en México. Detrás de estos ataques se encuentra el grupo cibercriminal Ploutus, que después de haber sido descubierto por primera vez en 2013, sigue activo con variantes en sus formas de ataque.

En el 2016, nuevas versiones atacaban a los cajeros fabricados por NCR, en las que se requería manipular el cajero mediante una USB o un DVD; mientras que en el 2017 se descubrió una versión con acceso remoto donde el 99% de los blancos detectados corresponden al fabricante Diebolt, aunque el código malicioso no estaba escrito específicamente para este desarrollador. El Economista dio cuenta de esta última versión en enero del 2017 durante una entrevista con el investigador mexicano Daniel Regalado, de Fire Eye.

En México y América Latina, el escenario es ideal para que los delincuentes obtengan ganancias a partir del ataque a los cajeros automáticos. Regulaciones laxas, sistemas obsoletos y el mismo modo de operación permite que los robos sigan ocurriendo a pesar de las alertas hechas por las instituciones financieras.

"Todos los cajeros son vulnerables principalmente por regulacione vigentes, siguen ejecutando Windows XP, siguen con el software de Diebolt que manda la regulación del país. Hasta que eso no cambie, todo el inventario es vulnerable. La banda de Ploutus elige cajeros que no son monitoreados por vídeo. Es muy difícil encontrar alguna filmación donde se encuentre el criminal llegando con el USB e infectando con malware. Por más que todos los equipos estén vulnerables, la banda elige aquéllos que sabe que no van a ser monitoreados", explicó Santiago Pontiroli, analista de Seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab.

Una particularidad de Ploutus es que es un malware desarrollado en América Latina -dentro de su código se puede leer la leyenda "Ploutus made in Latin America"- pero las evidencias analizadas por los expertos de Kaspersky Lab apuntan a que el desarrollo y la operación se realiza en México. Durante la presentación del caso en la Séptima Cumbre Latinoamericana de Analistas de Seguridad, Pontiroli destacó que los ataques ocurren en fechas clave del país, por ejemplo, el Buen Fin.

Pero este caso evidencia una fotografía más amplia: México es uno de los países de América Latina que se han posicionado como un polo de desarrollo y maquila de código malicioso. Los expertos de Kaspersky Lab identifican que Brasil, México y Perú son importantes centros de creación de ataques informáticos. Su principal objetivo es la obtención de beneficios económicos de forma rápida por lo que predominan aquellos ataques al sector financiero.

"En Brasil hay un cibercrimen muy conocido y muy avanzado, y están muy conectados con grupos underground de Rusia. En México también hay bastantes grupos que desarrollan cosas, y Perú, que es un país donde hay una actividad criminal bastante activa", dijo a El Economista el analista de Seguridad de GReAT, Thiago Marques.

El crecimiento del desarrollo cibercriminal en la región ocurrió luego del intercambio de conocimientos con grupos de Europa Oriental, explicó en entrevista el analista Senior de GReAT, Fabio Assolini. El desarrollo evolucionó al punto en que ahora existe una creación local de ciberamenazas.

"Inicialmente los criminales tienen contacto con Europa Oriental, ahí hacen compras, intercambian técnicas de ataque y empiezan a usar esto en nuestra región. Pero llega un punto en que el criminal piensa 'yo puedo desarrollar desde cero' y lo hacen. Entonces empiezan a aparecer en la región cosas creadas desde cero, pero inspiradas en otros malwares de otra región. Hay este intercambio de conocimiento con criminales de otras regiones, empiezan a usar herramientas y en determinado punto empiezan a hacerlo propio: hacen malware local, lo usan localmente y lo adaptan a lo que el criminal necesita", explicó el analista.

Así, diversos indicadores dan pistas del potencial. Assolini dio a conocer durante la Cumbre que entre los años 2015 y 2016, sucedieron cerca de 1,300 ataques en terminales punto de venta (PoS) en América Latina, y en los primeros ocho meses del 2017 van 1,000 ataques que se enfocan en clonar plásticos bancarios. De acuerdo con la investigación, Brasil es el líder en clonación mediante malware en en PoS con 77.3% de las detecciones, seguido de México, con 11.6 por ciento.

Luego de ser presentados estos datos, Dmitry Bestuzhev, director para América Latina del GReAT, escribió en un tuit que "existen varias escuelas/fábrias de PoS malware: brasileña, colombiana y rusa. Estas son las más populares operando en Latinoamérica".

Uno de los factores de crecimiento es que los códigos se han hecho públicos po lo que los cibercriminales los adaptan para crear sus ataques enfocados a blancos locales.

"Existe el malware que viene de fuera, y hay cosas desarrolladas desde cero usadas para atacar aquí. El malware financiero el más prevalente en América Latina porque el criminal latino tiene el ímpetu de lucro inmediato. Quiere meter la mano en el dinero", explicó Assolini.

En desarrollo local, el troyano bancario es el que tienen mayor presencia en la región de América Latina. En Brasil, por ejemplo, desarrollaron un ataque con el que los criminales modifican los números de cuenta cuando los consumidores imprimen los denominados "Boletos" (un medio de pago utilizado en Brasil) y hace que los usuarios hagan pagos en cuentas erróneas, relacionadas con los criminales.

"La idea la sacaron de Europa Oriental llamada Spy Eye para usarla en nuestra región", comentó el analista.

Para México, Assolini ve que es común el desarrollo de redes zombie o botnets que son controladas a través de sistemas de chat: "El criminal hacía que las computadoras infectadas se conectaran a un canal IRC (internet relay chat) las computadoras conectaban todas las computadoras. Hoy los criminales en lugar de hacer computadoras zombies, conectan a un grupo de Telegram. Como nadie bloquea el Telegram, tienen botnets controladas por Telegram", comentó.

Lo cierto es que hablar de ciberataques de esta naturaleza, en la esfera digital, necesariamente se relaciona con el crimen en en el mundo físico. El ataque de Ploutus, por ejemplo, es exitoso debido a la existencia de fugas de información de los fabricantes de cajeros automáticos y la corrupción del personal del mismo banco, además de que requiere de la colaboración de "mulas" y personas en el sitio para obtener el dinero, de acuerdo con Pontiroli.

O en las infecciones a terminales punto de venta y otros mecanismos para la recolección de datos bancarios de los usuarios, la clonación de tarjetas de crédito está ligada con el crimen físico, advirtió Assolini.

De acuerdo con los investigadores de Kaspersky Lab, el 90% de las amenazas informáticas están relacionadas con el "cibercrimen tradicional" que busca beneficios económicos. De enero a agosto del 2017, la firma ha detectado 677 millones de ataques en América Latina. A nivel global, el cibercrimen tiene un costo de entre 400,000 y 500,000 millones de dólares, de acuerdo con cifras presentadas por Eugene Kaspersky, fundador y director de la compañía, durante el encuentro de analista.

julio.sanchez@eleconomista.mx