Infostealer: un espía en tus dispositivos

El uso de tecnologías de la información en la vida personal y en el trabajo no está exento de múltiples tipos de riesgos, y no existe una única práctica que nos proteja de toda amenaza existente. Esto se puede apreciar en la inmensa variedad de las recomendaciones de ciberseguridad hechas a los cibernautas por organizaciones como la nuestra (CSIRT de Gobierno) para proteger sus accesos e información, referidas a ámbitos como qué cosas compartir en redes sociales, cómo evitar caer en fraudes, cómo crear buenas contraseñas, entre otros.

Hemos hablado muchas veces en este sitio acerca del buen uso de contraseñas. Crear contraseñas fáciles de recordar, difíciles de adivinar y distintas para cada caso de uso (o mejor aún, crearlas con un gestor de contraseñas) es un hábito esencial para mitigar el riesgo de que un ciberdelincuente tenga acceso a nuestra información y cuentas sensibles, ya sea a través de adivinar por fuerza bruta una contraseña débil, o por medio de datos obtenidos de filtraciones de plataformas, entre los que se podrían encontrar credenciales.

Si bien en los dos modos de ataque ya mencionados, el crear buenas contraseñas es suficiente para protegernos adecuadamente, esto no nos protege de las muchas otras formas de acceder a una cuenta sin consentimiento de su propietario, como por ejemplo:

• Si la plataforma posee alguna vulnerabilidad que permita ingresar a otra persona sin conocer la contraseña (como una inyección SQL),
• Si ingresamos nuestra contraseña por error en un sitio fraudulento que intenta hacerse pasar visualmente por el sitio real (phishing y smishing)
• Si alguien ve nuestra contraseña mientras la ingresamos (shoulder surfing), o
• Si tenemos instalado un programa malicioso que registra nuestra actividad y la envía a un ciberdelincuente (spyware, keyloggers e infostealers).

Hoy nos enfocaremos en el último de estos ejemplos: los infostealers, explicando qué son, qué pueden llegar a hacernos y qué podemos hacer para evitarlos o eliminarlos.

Un infostealer es un tipo de programa malicioso (malware) cuyo objetivo es el robo continuo de información sensible, como documentos, tarjetas de crédito y credenciales, en los dispositivos de las personas afectadas.

Estos programas están diseñados para ejecutar las siguientes acciones de forma periódica:

• Buscar archivos que podrían ser valiosos en el equipo de la víctima (documentos te texto, planillas, presentaciones, fotos, datos bancarios, archivos temporales de navegador, datos de autocompletado de tarjetas de crédito y credenciales, tokens de sesión de aplicaciones de mensajería, entre otros)
• Enviar los archivos encontrados a un atacante remoto, adjuntando información del dispositivo de la víctima, como IP, país de origen, nombres de usuario y de equipo.

Para mantenerse activos durante la mayor cantidad de tiempo posible, el infostealer ejecuta todas estas acciones de forma silenciosa, evitando llamar la atención de los usuarios infectados y de programas de seguridad instalados en el equipo.

Cuando tu computador o tu teléfono está infectado, todo lo que tipeas en el navegador es capturado y enviado al atacante. Por eso no sirve cambiar tu clave en un dispositivo infectado: el atacante verá el cambio de clave, y la cambiará por otra de su gusto.

El método de operación es, a grandes rasgos, el siguiente. Un grupo de ciberdelincuentes diseña y desarrolla una aplicación de infostealing, la cual luego es promocionada en portales especializados para este tipo de transacciones. Entonces, cualquier grupo criminal que vea la publicación puede pagar por el acceso al sistema, en modalidad de malware como servicio. En esta modalidad, la funcionalidad de robo y transmisión de la información ya está diseñada, quedándole como tarea al quien adquiera estos servicios el definir cómo y a quiénes distribuirá la aplicación maliciosa.

El medio de distribución puede ser a través de aplicaciones crackeadas o contenido multimedia pirata, o también a través de archivos en correos electrónicos fraudulentos (como los que reportamos de vez en cuando). Una vez que la víctima ejecuta la aplicación maliciosa, ésta se las arregla para mantenerse en ejecución durante el mayor tiempo posible sin ser detectada.

La información recolectada por el atacante puede ser usada para ejecutar a futuro ataques más personalizados (Phishing dirigido o BEC), para extorsionar a la víctima, o incluso para ganar dinero al ser vendida en los portales de ciberdelincuentes ya mencionados, agrupada en paquetes de miles de usuarios vulnerados y organizada en ocasiones por países de procedencia.

Existen ocasiones en que los datos robados son validados y organizados por quienes los compran en estado puro, para poder revenderlos a mayor precio o publicarlos de forma gratuita, con el objetivo de hacerse conocidos entre sus pares.

En el caso de los infostealer, aplican las mismas recomendaciones de prevención de cualquier tipo de malware:

• Activa el antivirus que viene con tu sistema operativo (Windows Defender si es MS Windows), ya que puede ayudar a detectar este tipo de programas.
• No descargues ni abras documentos ni programas de fuentes que no parezcan confiables.
• Si te envían un correo electrónico desde una dirección que no reconoces, con enlaces o archivos sospechosos, o te piden usar un dispositivo de escritorio para visualizarlos, muy probablemente el mensaje es falso.

Además, para evitar riesgos asociados a la filtración de tu contraseña, te recomendamos lo siguiente:

• Configura autentificación de factor múltiple (MFA) en los dispositivos y plataformas que lo permitan. Esto disminuye el riesgo de que alguien que consiga tu contraseña pueda ingresar, modificar datos o realizar acciones en tus cuentas.
• Usa contraseñas distintas en cada plataforma. Para ayudarte, puedes utilizar un gestor de contraseñas dedicado como KeePassXC, BitWarden o 1Password.
• Mantente atento a las notificaciones que pudiesen llegarte por correo electrónico de las plataformas en las que estás registrado, sobre cambios en tus cuentas. En caso de recibir una, verifica el remitente e ingresa directamente al sitio a validar la información.

En caso que te enteres que tus credenciales están filtradas o detectes comportamiento no reconocido en tus cuentas personales, te recomendamos lo siguiente:

• Si sospechas que tu dispositivo está infectado, debes limpiarlo antes de cambiar tus claves. Si lo haces al revés (primero cambias tus claves y luego limpias el computador), el atacante recibirá la nueva clave y la cambiará de nuevo por otra cosa.
• Desde un dispositivo no infectado, cambia las contraseñas de todas las cuentas a las que accediste desde el equipo infectado.
• Ejecuta un escaneo completo de tu dispositivo con el antivirus de tu dispositivo (si es Windows, puede ser Windows Defender).
• En caso que no sepas cómo, pide ayuda a un servicio técnico de confianza para eliminar el programa malicioso de tus equipos. Ante la duda, puedes respaldar tu información importante y luego pedir que formateen tu computador.
• Para prevenir nuevas infecciones, sigue las recomendaciones de la sección anterior (¿qué puedo hacer para evitar ser víctima de un infostealer?).