La campaña de hack-for-hire, que tiene como objetivo empresas de atención sanitaria, consultoras y entidades de servicios financieros principalmente en los EE.UU., Eslovenia, Canadá, Irán, Bahrein y Chipre, utiliza cuentas de Gmail que simulan ser de la OMS para dirigir a las víctimas hacia sitios web similares a los de la Organización. A partir de ahí, se insta a las víctimas a que se apunten a alertas de correo relacionadas con la pandemia de coronavirus. Sin embargo, cuando se inscriben, se pide a los usuarios revelar las credenciales de su cuenta de Google u otra información personal, como sus números de teléfono celular. La mayoría de los ataques de este tipo se han originado en la India, según el Grupo de Análisis de Amenazas de Google (TAG).
Es el último ejemplo de criminales y actores estatales que aprovechan la incertidumbre causada por la pandemia para enviar correos electrónicos de spam que pretenden tener información de las autoridades sanitarias sobre el coronavirus, pero que en realidad buscan robar credenciales o están relacionados con malware. Otras campañas de correo electrónico de “spearphishing” han imitado a los Centros para el Control y la Prevención de Enfermedades de los Estados Unidos y a otras autoridades sanitarias locales, por ejemplo.
El 28 de mayo, el Comité Internacional de la Cruz Roja (CICR), publicó una carta abierta en la que pide a los líderes mundiales “adoptar medidas inmediatas y decisivas para detener todos los ciberataques contra los hospitales, la atención sanitaria y las instalaciones de investigación médica, así como contra el personal médico y las organizaciones internacionales de salud pública”.
Shane Huntley, director de ingeniería de software del Grupo de Análisis de Amenazas de Google escribe en el blog de la empresa: “Estamos viendo un resurgimiento de los intentos de hacking y phishing relacionados con el Covid por parte de numerosos atacantes comerciales y gubernamentales. En general, el año 2020 ha estado dominado por Covid-19”
Según Huntley, la pandemia ha adquirido protagonismo en la vida cotidiana de las personas, en los medios de comunicación internacionales y en el mundo de la piratería informática respaldada por gobiernos. “Recientemente, compartimos información sobre numerosos ataques de temática Covid descubiertos y confirmados por nuestros equipos. Seguimos viendo ataques de grupos como Charming Kitten a profesionales de la salud, incluyendo a empleados de la Organización Mundial de la Salud (OMS). Al igual que otros han reportado, estamos viendo un resurgimiento de los intentos de hacking y phishing relacionados con Covid por parte de numerosos atacantes comerciales y gubernamentales”, escribe el experto de Google.
En el ámbito de los grupos respaldados o patrocinados por gobiernos, Huntley escribe que estos actores tienen diferentes objetivos al llevar a cabo sus ataques: “algunos tratan de reunir información de inteligencia o robar propiedad intelectual; otros tienen como objetivo a disidentes o activistas, o intentan realizar operaciones coordinadas de influencia y campañas de desinformación”.
Huntley recuerda que los productos de Google tienen funciones de seguridad incorporadas, como las protecciones de Gmail contra el phishing y la navegación segura en Chrome. “De todos modos, seguimos dedicando importantes recursos al desarrollo de nuevas herramientas y tecnologías que ayuden a identificar, rastrear y detener este tipo de actividad. Además de nuestras investigaciones internas, trabajamos con las fuerzas policiales, con socios de la industria y con terceros, como empresas de seguridad especializadas, para evaluar y compartir información de inteligencia”.
Cuando Google detecta intentos de llevar a cabo operaciones coordinadas de influencia y manipulación en sus plataformas, sus equipos de Confianza y Seguridad eliminan dicho contenido de las plataformas de Google y cancelan las cuentas de estos actores.
La empresa ha decidido implementar una forma más racional de informar al público sobre estos temas, con un nuevo boletín trimestral que abordará las acciones que realiza contra las cuentas etiquetadas como “campañas de influencia coordinadas”. Desde marzo, Google ha eliminado más de mil canales de YouTube por considerar que formaban parte de campañas a gran escala y coordinadas.
“Nuestra esperanza es que este nuevo boletín ayude a otros que también están trabajando en el seguimiento de estos grupos, como los investigadores que estudian este tema, y esperamos que estas actualizaciones contribuyan a confirmar los hallazgos de las empresas de seguridad y otros del sector. También seguiremos compartiendo análisis más detallados de las vulnerabilidades que encontremos, las campañas de phishing y malware que veamos, y otras tendencias interesantes o dignas de mención en este nuevo espacio”, escribe Shaut Huntley en su artículo.
Ilustración: captura, blog de Google.
