La tendencia de hoy entre los cibercriminales a la hora de extraer unos cuantos bitcoins a sus víctimas es utilizar ransomware. Como hemos descrito en anteriores oportunidades, se trata de simple y llana extorsión: este virus encripta todos los archivos de un computador (en el mejor de los casos) y pide un rescate en bitcoins a cambio. Sin embargo, es importante recordar que este no es el único truco que tienen bajo la manga.
La vía del ransomware suele ser el correo electrónico, y por ello se recomienda no abrir links ni adjuntos que no sean de confianza. Sin embargo, no sólo los archivos podrían verse infectados sino la propia conexión a Internet, mediante PACs (Proxy Auto-Config) maliciosos, según la compañía de ciberseguridad Kaspersky Labs.
Por sí mismos, los PACs no son un virus, sino que permiten a los exploradores web elegir el servidor proxy adecuado mediante su búsqueda. El problema surgió cuando los hackers averiguaron como utilizar esta herramienta para esparcir phishing.
Atacando diversas páginas web, lograron insertar en las mismas un iframe malicioso, es decir, un elemento HTML capaz de incrustar otro elemento, en este caso un componente de aplicación (applet) de Java que, al desplegarse en la página web infectada, es capaz de cambiar la configuración del proxy en los navegadores IE y Firefox, de modo que el usuario sea redirigido a una página phishing (falsa). Estas, por supuesto, han sido diseñadas para imitar a diversas entidades financieras, donde el usuario inadvertido puede poner sus claves privadas —que serán robadas—.
Lo llamativo de este PAC malicioso es que una de las páginas que solía imitarse era MtGox, la cual en su momento fue la más grande casa de cambio de bitcoins. Este reporte fue realizado por la compañía en 2013, advirtiendo sobre todo a Brasil, donde suele verse mucho más este tipo de ataque.
Curiosamente, fue esa misma la fecha en que empezó a circular el Cryptolocker, el primer ransomware que utilizó Bitcoin como método de pago. Y tras ese año, de los PACs maliciosos parecen haber muy pocos reportes. ¿Cedió entonces este tipo de amenaza su lugar al ransomware? Es muy probable que la respuesta sea sí, pero esto no significa que los hackers no puedan recurrir también a esta carta. Lo único que tendrían que hacer es cambiar las páginas imitadas por las más populares del ecosistema en la actualidad: Coinbase, Kraken, Poloniex, Bitfinex o LocalBitcoins serían buenas opciones, y, de hecho, esta última insta a sus usuarios, en su página de inicio de sesión, a asegurarse de que se trata de la web correcta y no de una página phishing.
En cualquier caso, además de estar alertas ante el ransomware y otras amenazas recientes como los ataques al RDP, vale la pena no descartar todos los trucos a los que los hackers pueden recurrir para robar bitcoins. Respecto a estos PACs maliciosos, de hecho, la única prevención es estar alerta: en el phishing siempre hay algo fuera de lugar. Si sospechas que la página tiene algo extraño, evita otorgar tus credenciales. Tampoco se trata de una amenaza tan lejana, pues, según la firma Cisco, el robo de credenciales a carteras en línea aumenta junto al precio de Bitcoin.
