Silueta hombre.
David Santos Ingenieria Operativa Guardia Civil

El riesgo al coronavirus no solamente está en el aire

Coronavirus móvil

Esta pandemia provocada por la expansión del Covid-19 no solo se está reproduciendo físicamente. Desde hace semanas se viene utilizando en una gran variedad de campañas maliciosas con emails no deseados, malware, ransomware y dominios que aglutinan las anteriores. Al igual que el riesgo al coronavirus avanza por el mundo, las campañas que utilizan la enfermedad como señuelo también lo hacen.

Estas amenazas no diferencian si eres una empresa o no. Básicamente, lo que tienen como fin es obtener un beneficio económico o transmitir desinformación para reforzar el anterior fin. En el caso del ciudadano de a pie, lo más probable es que pueda verse impactado por campañas de correo no deseado haciendo referencia a vacunas, supuestos organismos que buscan financiación para encontrar una cura u otros que necesitan simples donaciones. No significa que todos los correos sean malos por definición. Ahora bien, probablemente un alto porcentaje de ellos sí lo sean, y más cuando no lo esperas. Como siempre, se ha de desconfiar de los enlaces a webs que contengan.

Por otro lado, también estamos viendo aplicaciones para Android que simulan dar información en tiempo real sobre el estado del virus en una zona concreta. Además, piden permisos sobre el terminal para dar esa información. Es importante subrayar que cualquier aplicación que pida permisos para dar esta información es muy susceptible de ser maliciosa. Especialmente, si hace hincapié en los permisos sobre la cámara, los contactos y el micrófono. Asimismo, es importante no conceder nunca permisos de “Accesibilidad” o sobre el “Bloqueo de pantalla”, pues son la joya de la corona para la infección.

En el ámbito del ransomware, el que se está distribuyendo más rápidamente sobre terminales Android es CovidLock

Esta aplicación se ha bautizado así debido a sus capacidades como malware y su historia de fondo. Lo que hace es simular un cambio en la contraseña del dispositivo para desbloquear el teléfono, haciendo un bucle que deja el terminal inútil. Esto también se conoce como un ataque de bloqueo de pantalla y se ha visto antes en otros ransomware.

Si nos desviamos al ámbito empresarial, es interesante focalizar cómo algunas pymes han decidido implantar de prisa y corriendo sistemas de escritorio remoto y recursos compartidos abiertos a Internet. Y esto no es que lo diga cualquiera que se ponga a escanear la red. Simplemente desde shodan.io se puede ver como el número de servicios expuestos a internet de RDP y recursos samba ha crecido dentro de nuestro territorio, exponiendo lo más probable equipos que no están al día de actualizaciones o bajo una protección intermedia. Cabe recordar que estos servicios han sido recientemente explotados con vulnerabilidades como SMBGhost, para lo que se aconseja deshabilitar la compresión en SMBv3. Por la parte de escritorio remoto, cabe recordar otro gran fallo de seguridad que es conocido como BlueKeep.

Es recomendable usar todos estos servicios bajo una simple red VPN y desconfiar de los clásicos recursos de despliegue de tecnología de conocidos con conocimientos de informática. Es conveniente hacerlo con una empresa que dé una fiabilidad o un técnico especializado. En la web de INCIBE hay guías y recomendaciones para llevarlo a cabo, de fechas muy anteriores a que apareciese esta pandemia.

Volviendo finalmente al usuario final, desconfía de cualquier información que no proceda de un medio oficial. Nadie, por ejemplo, te va a pedir una donación en Bitcoins por correo. Mucho cuidado con instalar apps que hagan referencia a Covid-19 desde el Play Store de Android. Y más aún si es una aplicación apk descargada desde un sitio no oficial, ya sea en relación a este virus o no.