Una docena de redes internacionales de ciberdelincuentes altamente cualificadas controlan decenas de miles de dominios relativos al coronavirus para, con esta herramienta, intentar obtener beneficios millonarios. Este es el escenario al que
se enfrenta no solo la Policía española, sino el conjunto de Fuerzas de Seguridad de todos los países, porque en el mundo virtual todas las amenazas son globales: «Nunca habíamos visto nada semejante; el método no es nuevo, porque los ciberdelincuentes aprovechan cualquier evento, como por ejemplo unos Juegos Olímpicos, para actuar de esa forma, pero para dar una idea de lo que sucede basta señalar que en esas otras ocasiones se registraban ex profeso unos 5.000 dominios, y ahora ya hemos analizado 362.549 relativos a la crisis sanitaria», explica a ABC Manuel Guerra, analista forense informático de la Unidad de Investigación Tecnológica de la Comisaría General de Policía Judicial. De ellos, 120.141, según las investigaciones realizadas, han sido activados para cometer actividades criminales. Los datos son de este fin de semana. El ritmo de creación de dominios es vertiginoso. El 24 de marzo, 10 días después de decretado el Estado de Alarma, se habían detectado 12.000; al día siguiente, la cifra ascendía a 72.000, y a 135.000 el 2 de abril. Algo más de una semana después, el número, como ya se ha señalado, supera los 362.000. «Pensamos que la tendencia se va a mantener un tiempo, aunque se han tomado medidas para evitar que lo haga al mismo ritmo. Antes, las empresas que registraban los dominios simplemente se limitaban a cobrar los 2 euros que tienen como tarifa; desde hace unos días están obligadas a identificar a la persona física que lo inscribe, lo que evidentemente es una dificultad para los criminales, evita que la cifra siga creciendo de forma exponencial y facilita el trabajo de los investigadores», explica el analista de la Policía. En segundos La magnitud de los datos revela la entidad de la amenaza. «Nos pasamos horas y horas delante del ordenador, monitorizando la red e intentando detectar las web fraudulentas. En cuanto localizamos una, la bloqueamos. Pero obviamente es un trabajo de dimensiones enormes. Muchas veces actuamos y segundos después se activa otro dominio que hasta entonces estaba dormido, y hay que volver a empezar. La clave es poder hacerlo con la mayor parte posible de ellos, porque impedir que se entre en esas páginas es la única forma de proteger al ciudadano». Detrás de esta inmensa actividad cibercriminal hay en ocasiones pequeños grupos de cuatro o cinco amigos, con organización muy horizontal, pero también mafias internacionales muy potentes y jerarquizadas. Lo primero que necesitan estas redes es dinero; poder gastar considerables cantidades para registrar esas decenas de miles de páginas web. Es verdad que hacerlo con una sola cuesta un par de euros -se trata básicamente de dominios «.com», internacionales-, pero para controlar un número tan alto hay que hacer una inversión potente. Además, hay que tener conocimientos informáticos y dominar técnicas de ingeniería social para saber cómo dirigirse a la víctima y poder atraparla. Obviamente, para cumplir esos y otros requisitos es necesario el concurso de varias personas, más especializadas cuanto más complejo sea el grupo criminal, que forman tramas jerarquizadas y que tienen un reparto claro de roles. En este momento, de esas caracteristicas hay detectadas una docena de ellas, aunque la Policía tampoco quiere dar muchos datos para no dar pistas. «Están radicadas fuera de España, y desde luego algunas actúan desde Asia», explican fuentes consultadas por ABC. No todos los dominios exponen al usuario a los mismos peligros; como en todo, hay una jerarquía. Los más simples, y por tanto los más frecuentes, son las estafas y fraudes. En esos supuestos los ciberdelincuentes se limitan a cobrar a la víctima una importante cantidad por un producto, bien sea mascarillas, supuestas medicinas milagrosas u otro material para combatir la crisis sanitaria y luego el comprador no recibe nada a cambio, o en el mejor de los casos una mercancía inservible. Esto ocurre en la mitad de los incidentes detectados, aproximadamente. De poco en poco El segundo gran grupo es aquel en el que aprovechando la compra, y que la víctima aporta información bancaria, los ciberdelincuentes logran apoderarse de todos los datos de la cuenta y comienzan a vaciarla poco a poco, de 200 en 200 euros, bien hasta que no queda dinero o hasta que el afectado se da cuenta y avisa al banco para que la bloquee. En otras ocasiones es la propia entidad bancaria la que detecta movimientos inusuales y decide actuar por iniciativa propia. En esta categoría se incluiría otro 40 por ciento de los casos. Pero aún queda una tercera posibilidad, la que implica un grado de especialización mayor, y por tanto también la más peligrosa. En esta modalidad se libera un malware (virus) que se hace con el control bien del ordenador, o del teléfono móvil. A partir de ese momento comienza un proceso de petición de rescate, que suele oscilar entre 600 y 1.000 euros en bitcoin… «Normalmente, aunque se pague ese dinero los hacker no cumplen con su palabra y piden cada vez más», explica Guerra. Como en otras actividades cibercriminales o ciberterroristas, la «dark web» es utilizada por estas organizaciones para sus comunicaciones internas confidenciales, planificación de los ataques y diseño de estrategias. «La compra de dominios la tienen que hacer forzosamente en la red abierta, porque es allí donde hay que registrarlas; pero la otra la utilizan como una especie de laboratorio de ideas», explica el analista forense de la Unidad de Investigación Tecnológica de la Policía consultado por ABC. «Para nosotros es muy útil rastrearla porque nos sirve para saber cómo piensa esta gente y, de alguna forma, adelantarnos en la respuesta». Hay un dato respecto a este asunto muy significativo: «Se ha detectado un 50 por ciento más de individuos que navegan por la «dark web» desde el comienzo de la crisis del coronavirus. Antes, cada día circulaban 20.000 usuarios, en números redondos; las dos últimas semanas superan ya con creces los 33.000. Por supuesto, no todo el que lo hace es delincuente, pero sí una cierta proporción», añade el experto. A la del registro de dominios en la web para fines delictivos se une una segunda ciberamenaza, a través del envío masivo de correos electrónicos. «La diferencia con la anterior es que en las páginas web el ciudadano entra por decisión propia, y queda atrapado, mientras que en esta el perjudicado recibe un mail que no interpreta como peligroso y a partir de ahí se desata el ataque», precisa Guerra. Los correos que se están enviando suelen estar bien a nombre de un organismo oficial, entidad o banco, o bien desde la propia empresa del que lo recibe. En el primero de los casos el remitente solicita al receptor que facilite una determinada información relacionada de alguna forma con el coronavirus, y a partir del momento en que se abre el documento adjunto se libera el malware. Es, en todo caso, el sistema más simple de los detectados por los investigadores, pues se trata de un phishing algo más sofisticado que el habitual. Aún más peligroso, por el grado de especialización que requiere, es el ataque que se recibe desde un correo de la propia empresa. Para que eso suceda, antes los hacker han tenido que tener acceso al sistema de correos electrónicos de la organización atacada, de modo que lo que hacen es enviar un email desde ese servidor previamente colonizado. En el mensaje se pide al empleado que abra un documento para rellenar o que debe leer y el malwere comienza a expandirse. A partir de ese momento vuelve a producirse el «juego» de pedir rescate, que puede alcanzar cifras muy importantes si los ciberdelincuentes conocen previamente que se trata de empresas que mueven fuertes sumas de dinero. Desde luego no es lo habitual, pero el peligro es evidente y las potenciales pérdidas para la compañía pueden ser demoledoras. El malware también ser introducido en los sistemas informáticos de infraestructuras críticas, como ya ha sucedido hace solo unos días en un hospital de Brno (República Checa) que tuvo que desviar los pacientes a otros centros sanitarios. En España, los ataques de este tipo no han logrado tener éxito, al menos de momento. Como en el caso de las páginas web fraudulentas, el pago del rescate no trae el cese del ataque, sino más bien al contrario, ya que el ciberdelincuente percibe la vulnerabilidad de la víctima y seguirá aprovechándose de ella. Por supuesto, los pagos serán siempre en moneda virtual. El analista informático de la Policía Manuel Guerra describe la situación actual como «una carrera contra el reloj de la Policía para evitar que resulte perjudicado el mayor número posible de ciudadanos. Sabemos que no podemos parar todos los golpes».
FUENTE DIARIO ABC: