Expertos revelan campaña de hackeo enfocada en México
Un correo electrónico alertándole sobre la infidelidad de su pareja cayó en la bandeja de entrada de María, una usuaria común de internet; el correo contenía un archivo adjunto con imágenes como prueba de lo estipulado en el mensaje; sin embargo, al darle clic, el archivo no mostraba fotografías sino que descargó de forma silenciosa un malware en el dispositivo de la usuaria, por medio del cual un grupo de hackers fue capaz de obtener información confidencial de la persona para después comercializarla.
Este ejemplo es uno del total de 120,000 víctimas de la campaña de hackeo bautizada como Saguaro, una operación de cibercrimen creada y orquestada, presumiblemente, desde México desde 2009 y revelada por la firma de seguridad Kaspersky Lab durante la Cumbre Internacional de Analistas de Ciberseguridad 2016.
“No es un ataque dirigido (APT), es un grupo cibercriminal bien estructurado que está operando en diferentes campos con diferentes objetivos. El idioma de los atacantes es el español y la mayor parte de las víctimas están en Latinoamérica. Podemos concluir que es un grupo con raíces en México, tal vez pueden vivir en EU, pero sí tienen que ver con México muchísimo”, dijo Dimitry Bestuzhev, director para América Latina del Equipo Global de Investigación y Análisis para Kaspersky Lab en entrevista.
Del total de víctimas que se han relacionado a Saguaro hasta la fecha, 98% se ubica en México y 2% en países como Brasil, Perú, República Dominicana, Venezuela e incluso Rusia, ya sean individuos o empresas, de sectores como agencias de impuestos, entidades de salud, firmas de industrias pesadas, empresas de logística, proveedores de internet, centros de investigación, universidades y empresas de relaciones públicas y medios, detalló el analista.
Aunque Bestuzhev dice que la investigación los llevó a concluir que la operación de Saguaro es mexicana, asegura que no podría afirmar quién o quiénes están detrás; no obstante considera que el objetivo de la campaña es robar información que se pueda comercializar, además de trabajar por encargo. Si alguien les pide una investigación o información sobre algo o alguien sustraen esta información para venderla como un servicio.
“Cuando arrestan a cibercriminales ves gente gorda, flaca, vieja, joven, bonita y fea, de todo tipo, no hay un perfil, es como el terrorismo, no puede decir que son sólo de cierta manera. Es muy difícil decir quiénes son pero son un grupo que está para quedarse porque existen desde 2009 y no van a cerrar sus operaciones”, dijo Bestuzhev en entrevista.
A pesar de que la campaña lleva tiempo en operación, el analista dijo que apenas hace algunas semanas entregaron el análisis informático completo a las autoridades de uno de los Centros de Respuesta Ante Emergencias Informáticas (CERT) –de los cuales existen dos en México– para que ellos actúen de la forma que crean conveniente.
“Fuimos a las autoridades. Ahora ellos ya lo saben y está la pelota en su cancha. (...) Se colocó en las manos del CERT hace unas semanas; no es que ahora tenga que haber tanques blindados ni nada, no les puedes decir que están atrapando mal a los ladrones, ya sabrán ellos como lo hacen”, dijo el analista.
Bestuzhev adelantó que la única forma de conseguir contrarrestar el impacto del robo de información de este tipo de campañas es con trabajo coordinado con autoridades y compañías del país y aunque este es un tema que cuesta dinero a empresas y gobiernos lograr una óptima coordinación es “es muy complicado en América Latina”, dijo.
En México, el costo anual por el cibercrimen asciende a 24 millones de pesos, según datos de la firma de seguridad Lockton.
¿Cómo ataca el Saguaro?
Así como María recibió un correo electrónico apelando a su sentir por una infidelidad, Saguaro engancha a sus víctimas de diferente manera cada una, pues en este primer contacto vía correo electrónico, el mensaje varía dependiendo o que saben de la persona o la entidad.
“El mensaje puede cambiar depende de el género de la persona, la edad y los intereses de la persona”, dice el analista de origen ruso.
Cada uno de estos mensajes cuenta con un archivo adjunto, en el cual viene integrada la “carga útil”, es decir, el malware que al dar clic se instala de forma imperceptible en el sistema de la máquina y la red.
El ataque tiene tres bloques: el bloque espía, el backdoor, que es lo que da acceso a Saguaro para entrar a la máquina y tomar control de ella y un archivo RAT, que permite la gestión remota de la máquina.
“De este modo el atacante lo tiene todo. Pueden explorar el disco duro, manejar las máquinas infectadas y robar toda la información”, dijo.
Lo que se ha comprobado que roba Saguaro son las contraseñas, de todo tipo, incluyendo las de cuentas de servicios de streaming tanto de entretenimiento como de videojuegos o bien elementos que son guardados en el navegador. Al tener acceso a toda esta información, el Saguaro, puede controlar la máquina e incluso enviar archivos en el nombre de una persona ya que, el descargable en el correo electrónico inicial, cuenta con software firmado como real, el cual puede ingresar a cualquier sistema sin ser detectado.
De acuerdo con Bestuzhev, esta parte del ataque- los descargables- son provistos como licencias por hackers rusos.
“La parte del correo electrónico creemos que fue robada o copiada de otro país en América Latina y la parte de la “carga útil”, no es robado si no licenciado a los criminales de Rusia; es un ataque que combina dos fases desarrolladas en diferentes partes del mundo”, dijo.
Bestuzhev aclaró que este no es el único grupo de cibercriminales que opera en México, pero sí es uno de los más complejos y con mayor impacto; dijo que aunque se han mapeado otros casos, algunos de estos no pueden ser compartidos por el momento y se mantiene como información clasificada.