La tendencia de hoy entre los cibercriminales a la hora de extraer unos cuantos bitcoins a sus vรญctimas es utilizar ransomware. Como hemos descrito en anteriores oportunidades, se trata de simple y llana extorsiรณn: este virus encripta todos los archivos de un computador (en el mejor de los casos) y pide un rescate en bitcoins a cambio. Sin embargo, es importante recordar que este no es el รบnico truco que tienen bajo la manga.
La vรญa del ransomware suele ser el correo electrรณnico, y por ello se recomienda no abrir links ni adjuntos que no sean de confianza. Sin embargo, no sรณlo los archivos podrรญan verse infectados sino la propia conexiรณn a Internet, mediante PACs (Proxy Auto-Config) maliciosos, segรบn la compaรฑรญa de ciberseguridad Kaspersky Labs.
Por sรญ mismos, los PACs no son un virus, sino que permiten a los exploradores web elegir el servidor proxy adecuado mediante su bรบsqueda. El problema surgiรณ cuando los hackers averiguaron como utilizar esta herramienta para esparcir phishing.
Atacando diversas pรกginas web, lograron insertar en las mismas un iframe malicioso, es decir, un elemento HTML capaz de incrustar otro elemento, en este caso un componente de aplicaciรณn (applet) de Java que, al desplegarse en la pรกgina web infectada, es capaz de cambiar la configuraciรณn del proxy en los navegadores IE y Firefox, de modo que el usuario sea redirigido a una pรกgina phishing (falsa). Estas, por supuesto, han sido diseรฑadas para imitar a diversas entidades financieras, donde el usuario inadvertido puede poner sus claves privadas โque serรกn robadasโ.
Lo llamativo de este PAC malicioso es que una de las pรกginas que solรญa imitarse era MtGox, la cual en su momento fue la mรกs grande casa de cambio deย bitcoins. Este reporte fue realizado por la compaรฑรญa en 2013, advirtiendo sobre todo a Brasil, donde suele verse mucho mรกs este tipo de ataque.
Curiosamente, fue esa misma la fecha en que empezรณ a circular el Cryptolocker, el primer ransomware que utilizรณ Bitcoin como mรฉtodo de pago. Y tras ese aรฑo, de los PACs maliciosos parecen haber muy pocos reportes. ยฟCediรณ entonces este tipo de amenaza su lugar al ransomware? Es muy probable que la respuesta sea sรญ, pero esto no significa que los hackers no puedan recurrir tambiรฉn a esta carta. Lo รบnico que tendrรญan que hacer es cambiar las pรกginas imitadas por las mรกs populares del ecosistema en la actualidad: Coinbase, Kraken, Poloniex, Bitfinex o LocalBitcoins serรญan buenas opciones, y, de hecho, esta รบltima insta a sus usuarios, en su pรกgina de inicio de sesiรณn, a asegurarse de que se trata de la web correcta y no de una pรกgina phishing.
En cualquier caso, ademรกs de estar alertas ante el ransomware y otras amenazas recientes como los ataques al RDP, vale la pena no descartar todos los trucos a los que los hackers pueden recurrir para robar bitcoins. Respecto a estos PACs maliciosos, de hecho, la รบnica prevenciรณn es estar alerta: en el phishing siempre hay algo fuera de lugar. Si sospechas que la pรกgina tiene algo extraรฑo, evita otorgar tus credenciales. Tampoco se trata de una amenaza tan lejana, pues, segรบn la firma Cisco, el robo de credenciales a carteras en lรญneaย aumenta junto al precio de Bitcoin.
