Operación discordia: el ataque cibercriminal que tiene en su foco a Colombia

En los últimos meses la información de ciertas entidades sin ánimo de lucro ha estado en riesgo por una ciberamenaza. Mediante tácticas de ingeniería social (engaños para que las víctimas muerdan el anzuelo), los atacantes han intentado instalar archivos de código malicioso (coloquialmente conocidos como ‘virus’) en los computadores de sus blancos. Una vez alojados y ejecutados, documentos, fotografías, grabaciones e incluso el acceso a la cámara y el micrófono del equipo quedan a plena disposición del cibercriminal.

En los últimos meses la información de ciertas entidades sin ánimo de lucro ha estado en riesgo por una ciberamenaza. Mediante tácticas de ingeniería social (engaños para que las víctimas muerdan el anzuelo), los atacantes han intentado instalar archivos de código malicioso (coloquialmente conocidos como ‘virus’) en los computadores de sus blancos. Una vez alojados y ejecutados, documentos, fotografías, grabaciones e incluso el acceso a la cámara y el micrófono del equipo quedan a plena disposición del cibercriminal.

ESET, la firma de seguridad informática que detectó esta serie de ataques, bautizó a la ciberamenaza como “Operación Discordia”, pues parte de su logística utiliza los servicios de almacenamiento de la plataforma Discord.

Lea también: ¿Cómo comprobar si han hackeado la webcam y qué hacer para prevenirlo?

Miguel Ángel Mendoza, investigador de seguridad de la firma, menciona que por motivos de privacidad no puede revelar la identidad de estas entidades sin ánimo de lucro, ni sus quehaceres (políticos, económicos, religiosos…). Sin embargo detalla que el análisis de este ataque se realizó desde la segunda semana de febrero y hasta la tercera semana de marzo (sin que esto se traduzca en que el peligro haya desaparecido). También que el 96 % de las detecciones de los ataques enmarcados en la Operación Discordia fueron en Colombia, mientras que otro 2 % fue en Argentina y el 2 % restante en otras naciones.

¿Cómo es el entramado de la Operación Discordia?

La investigación adelantada por la firma de seguridad digital ató cada uno de los eslabones de esta campaña de ciberataques, revelando así la estrategia que emplearon los criminales para infectar los computadores de sus blancos.

Como en gran parte de las amenazas informáticas, el daño comienza con un correo electrónico, uno que llama la atención de la víctima, y que en algunos casos se refería a presuntos procesos judiciales en contra de la persona. Los nombres de los archivos infectados indican: “copia de la denuncia fiscal presentada en su contra NUNC Numero Unico de Noticia Criminal ESM.vbs*”; y otro que dice: “SPOA Sistema Penal Acusatorio Notificación de Requerimiento fiscal a su nombre por admisión de denuncia.vbs*.

Le puede interesar: ¿El fin de las contraseñas? Los titanes tecnológicos de EE. UU. quieren eliminarlas

Hay que tener en cuenta que estos archivos hacen parte de un documento comprimido, el cual se encuentra cifrado con una clave, y que esta clave es provista (en el correo) por el atacante. Se cree que esto se hace para generar mayor confianza en la víctima.

Una vez descargados estos archivos, el usuario intenta acceder a los mismos, pensando que son documentos PDF. Sin embargo, estos no abren, sino que ejecutan una serie de comandos (un script malicioso).

De manera desapercibida, lo que hace este código es conectarse a la red de Discord para descargar otro archivo de código malicioso que a su vez ejecuta un software llamado njRAT (también conocido como Bladabindi). Este es utilizado por los cibercriminales para tener control remoto del computador de la víctima. Esto se traduce en un pleno acceso a los documentos, fotografías, grabaciones e incluso activar la cámara y el micrófono del equipo infectado.

Le sugerimos leer: Estos son los tres ciberdelitos de mayor impacto en Colombia en 2021

El atacante también puede, de forma remota, hacer captura de pantalla y hasta registrar las teclas pulsadas por la víctima, lo que la deja expuesta a que se conozcan datos sensibles como claves de acceso a redes sociales, correos y cuentas bancarias.

Aunque no se dieron detalles de las organizaciones sin ánimo de lucro que han estado en el blanco de esta amenaza, la firma precisó que quienes estaán detrás de esta operación son son grupos delictivos financiados por terceros interesados en afectar a sus víctimas con este tipo de operaciones.

¿Cómo evitar ser víctima de esta ciberamenaza?

Mendoza, de ESET, recomienda descartar por completo correos electrónicos que tengan esta naturaleza, es decir, que resulten demasiado llamativos o que sugieran una acción inmediata. Especialmente si contienen archivos a descargar con formatos inusuales como del tipo script de visual basic (vbs).

Revise también la cuenta de correo electrónico desde donde se le envía esa información y si todos estos aspectos lo hacen desconfiar no descargue nada y, en la medida de lo posible, envíe el correo a un laboratorio de investigación para que analicen la eventual amenaza.

También se recomienda mantener actualizado el sistema operativo del equipo, pues esto hace que se cierren las brechas que pueden ser aprovechadas por los atacantes para afectar a sus víctimas. Y por último, contar con una solución de ciberseguridad, pues estas herramientas sí pueden detectar este tipo de amenazas, además de bloquearlas o eliminarlas antes de que estas ejecuten sus operaciones maliciosas.

Con el paso de los años, la seguridad informática cobra más y más protagonismo. Protegerse en la red es equivalente a la importancia que tiene el protegerse en la calle. Desconfíe e infórmese sobre cómo operan los cibercriminales, pues eso le ayudará a contar con herramientas para protegerse de este tipo de amenazas.

👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.