Gobierno alerta por ‘infostealers’, malware que roba datos de tarjetas en América Latina

Según información del Gobierno peruano y el portal We Live Security, ya hay cerca de seis familias de ‘malware’ ‘infostealers’, detectados por la marca de ciberseguridad ESET en Latinoamérica.

“La actividad de infostealers en América Latina no solo creció en volumen, sino también en diversidad. Algunas familias tienen años de presencia sostenida, mientras que otras surgieron más recientemente y ganaron protagonismo por su velocidad de evolución o por su integración con otros componentes maliciosos”, resalta la alerta del Centro Nacional de Seguridad Digital del Gobierno peruano.

Se trata de tipos de malware diseñados para robar información sensible de manera sigilosa y sin dejar rastro. “Una vez que se infiltran en un sistema o red corporativa, capturan cualquier pieza de información que pueda ser útil para para comprometer cuentas, escalar privilegios, facilitar otro ciberataque o comerciarla en mercados clandestinos”, alertan.

La amenaza de los ‘infostealers’

Lo que hace el mismo ‘infostealer’ es empaquetar la información robada y la envía a los servidores de los ciberatacantes o, como es la tendencia en los últimos años, a cuentas de mensajería instantánea con gran poder de anonimato como Discord o Telegram.

Entre la información más codiciada de estos tipos de ‘malware’ se encuentran los siguientes:

• Credenciales almacenadas en navegadores, clientes FTP, aplicaciones web o de escritorio
• Tokens de sesión activos, que permiten eludir autenticaciones incluso si la cuenta está protegida con 2FA
• Historial de navegación, cookies, formulados autocompletados y datos de tarjetas almacenados en navegadores
• Archivos específicos, como planillas de Excel, contratos en PDF, entre otros
• Capturas o grabaciones de pantalla, y listas de procesos o software instalado.

¿Qué hacer frente a estos?

La alerta de Perú señala algunos consejos para que los usuarios puedan seguir y prevenir ante estos ‘virus roba información’. Entre las medidas más sencillas y fáciles de entender están las siguientes:

• Mantener su sistema operativo, software antimalware y de seguridad, y todas las aplicaciones actualizadas con los últimos parches y actualizaciones de seguridad
• Evitar abrir archivos adjuntos o enlaces sospechosos en correos electrónicos no solicitados o mensajes de redes sociales
• Utiliza contraseñas fuertes y únicas, evitando reutilizar la misma contraseña en múltiples cuentas y plataformas
• Procurar que todas las cuentas con inicios de sesión con contraseña (por ejemplo, cuentas de servicio, cuentas de administrador y cuentas de administrador de dominio) cumplan con los estándares del NIST para el desarrollo y la gestión de políticas de contraseñas, incluyendo longitud mínima, complejidad, no reutilización, bloqueo ante intentos fallidos, caducidad, etc.
• Realizar copias de seguridad periódicas de tus archivos importantes para protegerte contra la pérdida de datos en caso de un ataque

Sin embargo, también dan una serie de recomendaciones más complejas, que involucran mayor conocimiento y, en caso sea necesario, asesoría de un experto:

• Habilitar la autenticación multifactor (MFA) para todos los servicios en la medida de lo posible
• Invertir en soluciones de seguridad, como sistemas de detección y respuesta de endpoints (EDR), y software de detección y prevención de intrusiones (IDS/IPS), que utilicen inteligencia artificial y aprendizaje automático para la detección proactiva de amenazas, de tal manera que pueda identificar y bloquear comportamientos sospechosos antes de que causen daños significativos
• Revisar los permisos solicitados por las aplicaciones, especialmente si piden acceso a funciones de accesibilidad sin justificación aparente
• Considerar utilizar un gestor de contraseñas para mantener tus credenciales seguras y fáciles de administrar
• Auditar los accesos actuales y revisar cualquier actividad inusual en tus sistemas
• Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas nuevas o no reconocidas
• Habilitar la protección de firewall para monitorear y controlar el tráfico de red entrante y saliente
• Centrar la estrategia de defensa en la detección de movimientos laterales y el bloqueo de actividades fraudulentas de transferencia de datos confidenciales a Internet (fuga de informaciones). Es importante prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes en su red
• Implementar el principio del privilegio mínimo para minimizar el impacto potencial de las infecciones de ransomware y auditar cuentas de usuario con privilegios administrativos
• Segmentar redes para restringir el movimiento lateral desde los dispositivos infectados
• Educar a los usuarios sobre las amenazas de ransomware y cómo reconocer los intentos de phishing.