Una nueva alerta nos advierte que nuestro correo electrónico podría estar en riesgo. Es el malware llamado Ursnif, afecta sólo a usuarios de Windows.

Onliner es el programa que controla millones de spambots y es el culpable de enviar dicho malware especializado en robar datos bancarios.

La novedad es que tiene la capacidad para traspasar los filtros de spam más utilizados, logrando infectar las computadoras y habría capturado ya alrededor de 700 millones de cuentas de correo electrónico. Un número gigantesco aunque parece que ya nos hemos acostumbrado tanto que ya no nos sorprende.

Onliner envía un email, que puede ser de diferente asunto, reservaciones, comprobantes o notificaciones y siempre incluye un documento adjunto y el mensaje solicita que se abra el archivo adjunto.

Lo más peligroso viene a continuación, ya que con el simple hecho de descargar el archivo se instala automáticamente sin interacción con el usuario ni ningún aviso.

Una vez instalado Ursnif puede robar contraseñas de los correos electrónicos detalles de nuestras tarjetas bancarias así como información personal.

Ursnif sólo afecta al sistema operativo Windows

Una buena noticia es que sólo funciona en Windows, la mala noticia es que la mayoría de las personas usan Windows. Por supuesto que ese es el plan cuando programas un virus.

Resultaría ilógico o únicamente recreativo desarrollar un virus que funcione sobre el sistema operativo de una Tandy o una Comodore, sistemas ya descontinuados hace muchos años que nadie usa.

El descubrimiento lo realizó el investigador de seguridad en París, cuyo alias es Benkow y encontró un archivo de caché con lista gigantesca de direcciones de correo electrónico y contraseñas. Incluso datos de acceso a servidores desde donde la red de de spambots envía sus ataques haciendo que los mensajes parezcan legítimos y es precísamente lo que evita que caiga y sea detectado por filtros de spam.

Benkow compartío la información con otro investigador en seguridad, Troy Hunt, quien a su vez notó que una parte de la información estaba dañada, pero dentro de los datos que revisó detectó datos de cuentas que ya se habían filtrado hace tiempo de un hackeo anterior a la red social laboral LinkedIn.

El que él encontrara datos de robos anteriores significa que los administradores de los spambots utilizan los nombres de usuario y contraseñas de personas a las que ya se les habían robado sus credenciales de acceso y que nunca cambiaron sus contraseñas, por desconocimiento o por flojera.

El hallazgo destaca la importancia de protegernos del malware similar a Ursnif

Lo que es una llamada más para recordarnos de la importancia de cambiar frecuentemente nuestras contraseñas. Porque cuando se hace público que robaron datos de acceso a algún sitio web mucha gente considera que por darse a conocer los datos ya no son utilizados y no están en riesgo. Nada más lejos de la realidad, si son funcionales en cualquier momento formarán parte de esas computadoras zombis que envían spam y malware sin darse cuenta.

Dicha información de acceso se utiliza y se revende mientras funcione. Por ello y aunque es incómodo, debemos utilizar los sistemas de autentificación múltiple, como el recibir un SMS al intentar iniciar sesión para contar con mayor seguridad. Nos obliga a tener el teléfono con nostros todo el tiempo y con batería o el cable para recargarla, pero si consideramos que cada día es mayor el riesgo que representa ingresar a nuestras cuentas desde cualquier sitio como la computadora infectada de un amigo, de un compañero de la oficina, en la escuela o un café internet.

Las posibilidades están en nuestra contra y esa es casi nuestra única opción. Por supuesto debemos tener configurado el teléfono para autobloquear su pantalla si no lo usamos después de cierto tiempo y de ser posible, activar la encriptación o cifrado de datos para que en caso de que alguien lo robe o lo encuentre y explore en su computadora o teléfono la memoria SD no pueda ver las fotos, videos, archivos y demás contenido.

Puedes verificar si Ursnif robó tu correo electrónico

Regresando al tema de los correos y contraseñas robadas, Troy Hunt creó un sitio web con la base de datos que permite a cualquier visitante escribir su o sus correos electrónicos y verificar si su cuenta aparece, si es un resultado positivo como lo fue en mi caso, se recomienda cambiar de inmediato la contraseña. Puedes buscar tu correo en la siguiente dirección: www.haveibeenpwned.com

La única forma de saber de dónde obtuvo Ursnif tu dirección es usar correos modificados al momento de darte de alta en un servicio web, Gmail por ejemplo permite modificar tu correo para darlo de alta en diferentes servicios y que los mensajes te lleguen al correo original, por ejemplo si tu correo es [email protected] y te darás de alta en Dropbox, lo harías con la siguiente modificación: [email protected] lo que parece un correo totalmente distinto, pero todo lo que envíen a esa dirección te llegará a tu correo original. Antes de darte de alta es bueno que hagas algunas pruebas enviando mensajes a la dirección modificada desde el correo de tu trabajo por ejemplo. Una vez comprobado podrás generar distintas cuentas como [email protected], [email protected] o [email protected]. Aunque te encontrarás uno que otro servicio que no lo acepte como correo válido, pero serán pocos.

Así si tu correo aparece de nuevo en una lista de información en manos de delincuentes, podrás saber qué sitio fue hackeado y cambiarás la contraseña únicamente en dicho servicio.

Gonzalo Monterrosa

Sociedad Beta

 

Contralínea 556 / del 11 al 17 de Septiembre de 2017