Aparenta ser un correo de Sanidad, pero en realidad contiene un virus para 'hackearte'

Por si no fuera suficiente con capear una pandemia, los españoles también deben extremar las precauciones en el entorno virtual. Después de las campañas fraudulentas que trataban de suplantar a organismos estatales como la DGT, la Agencia Tributaria o Correos, el Instituto Nacional de Ciberseguridad (Incibe) ha detectado ahora falsos correos electrónicos que, con un remitente que se hace pasar por el Ministerio de Sanidad, Consumo y Bienestar Social, difunden un 'malware' diseñado especialmente para tomar el control del dispositivo de la víctima.

El correo tiene como asunto: 'Urgente – Informacion CORONAVIRUS [sic]' y en el cuerpo de texto se informa sobre supuestos nuevos protocolos dictados por las autoridades sanitarias tras la declaración del estado de alarma: "Estimados, Les adjuntamos una circular donde les informamos de los protocolos que estamos siguiendo ante la actual situacion de coronavirus. Rogamos la lean detenidamente y si tienen cualquier duda nos llamen en nuestro nuevo horario: 08:00h a 15:00h [sic]", reza el mensaje.

El texto se ha reproducido tal cual —incluyendo errores ortográficos y gramaticales— porque precisamente esta es una de las claves para identificar el 'email spoofing', técnica mediante la que los ciberdelincuentes se hacen pasar por una persona o institución para robar datos de terceros. En este caso concreto, se hace a través de un 'malware' conocido como Trojan Downloader o Dropper, un código inofensivo a simple vista, oculto bajo un archivo comprimido, que se activa al recibir una orden de descarga.

La forma de 'cazar' a la víctima es sencilla. Tras el citado mensaje, se ofrece el enlace de descarga al falso protocolo. Si el usuario hace clic en él, se le redirige a una página web donde se descarga un archivo malicioso que lleva por nombre 'rnh_Fichero_ES.zip', aunque no se descarta que su denominación pueda cambiar. Al ejecutarse, el virus se activa en segundo plano sin que el usuario se dé cuenta de todas las acciones para las que está diseñado y, después de que el ciberdelincuente obtenga lo que quiere, se desinstala automáticamente y elimina cualquier rastro.

Una técnica parecida se utiliza para suplantar al Ministerio de Trabajo y Economía Social desde hace meses. El Incibe advierte de que siguen llegando correos electrónicos que advierten a los empleados de un falso proceso extrajudicial que está siendo objeto de investigación y, mediante técnicas de ingeniería social, fuerzan a que descarguen archivos maliciosos con un mismo patrón: 'Archivo_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias'.

Qué hacer si recibes un correo fraudulento

Esta oleada de ciberdelincuencia hace imprescindible la tarea de identificar los correos falsos. Ante la duda sobre si se trata de una empresa u organismo público real, el Incibe recomienda acceder directamente a través del área de clientes o la sede electrónica para comprobar las notificaciones. Además, ofrece una serie de pautas básicas para evitar ser víctima de ataques informáticos similares:

• No abrir correos no solicitados o de usuarios desconocidos. Lo mejor es borrarlos inmediatamente.
• No contestar en ningún caso a estos correos.
• Revisar los enlaces antes de hacer clic, incluso si se trata de contactos conocidos.
• Desconfiar de los enlaces acortados.
• Desconfiar de los ficheros adjuntos.
• Tener siempre actualizado el sistema operativo y el antivirus.
• Asegurarse de que todos los servicios y cuentas en redes sociales tienen contraseñas robustas.

En caso de haber descargado y ejecutado el archivo, es importante realizar un escaneo de todo el equipo con el antivirus y seguir las instrucciones marcadas por el programa para eliminar el 'malware'. Además, se aconseja realizar periódicamente copias de seguridad y guardarlas en ubicaciones diferentes. De esta forma, si se produce algún incidente de seguridad será posible recuperar los datos.