Cancún

Cibermercenarios roban un millón de archivos

Un grupo de cibermercenarios árabes, distribuidos por Oriente Próximo y en pleno apogeo de actividad, ha robado más de un millón de archivos confidenciales a organizaciones e individuos de todo el mundo con un alto perfil social, político, religioso o educativo.

El anuncio se hizo público este martes en el congreso de ciberseguridad SAS 2015 que celebra Kaspersky en Cancún (México), donde se dieron detalles de una nueva ciberamenaza sofisticada persistente (APT) bautizada como «Desert Falcon», y que ha desvelado al que sería el primer grupo árabe conocido de mercenarios que desarrolla y ejecuta operaciones de ciberespionaje a gran escala.

Uno de sus investigadores, Dmitry Bestuzhev, analista de Kaspersky, describió en declaraciones a Efe a los miembros del grupo como «auténticos maestros» de la ingeniería social, con técnicas muy analizadas para persuadir a la víctima para abrir archivos o correos sin percatarse de que están infectados.

«Seleccionan muy cuidadosamente a sus víctimas y antes de atacar se documentan para saber quiénes les interesan y quiénes no»; buscan archivos con datos sobre reuniones de políticos, programas educativos o actas de encuentros religiosos, añadió el experto.

Según los investigadores, se intuye que los atacantes son árabes por el código y los nombres que utilizan; se conoce además que estarían retribuidos por sus acciones, que ejecutan desde distintos países, y están muy bien organizados en grupos de trabajo.

Unos son programadores, otros planifican los mensajes con los que persuadir a las víctimas para abrir un correo, otros estudian el comportamiento del internauta para conocer sus hábitos y descifrar su verdadero peso político, religioso o social; otros analizan los datos, otros extraen conclusiones y analizan la documentación.

Los investigadores de Kaspersky Lab cifran al menos en treinta el número de personas involucradas en esta banda de cibermercenarios cuyos ataques habrían afectado a más de 3.000 víctimas en medio centenar de países de todo el mundo.

Se dirigen contra PCs con sistema operativo Windows y dispositivos móviles Android, de Google), dada la facilidad de estos aparatos para instalar nuevas aplicaciones; de estos últimos se han visto comprometidos unos 400 usuarios, lo que confirma que las víctimas son muy bien elegidas, según el responsable de Kaspersky.

Los países más afectados hasta el momento son Egipto, Palestina, Israel y Jordania, pero también se han encontrado múltiples víctimas en países como Noruega, Suecia, Francia o Rusia, e incluso en Estados Unidos y México.

Mediante sus técnicas persuasivas el atacante accede al dispositivo de la víctima y a datos de sus llamadas, mensajes de texto, ubicación geográfica, hábitos de vida, horarios y demás información que le permite formarse un patrón completo del estilo de vida de la persona.

El cibermercenario puede incluso tomar capturas de pantalla de sus víctimas, registrar su forma de teclear, cargar y descargar archivos, recopilar información acerca de todos los archivos de su disco duro y dispositivos conectados, e incluso robar contraseñas almacenadas en el registro del sistema y hacer grabaciones de audio.

Las herramientas de persuasión a las que recurren se vinculan con mensajes de correo electrónico, redes sociales y sitios web con temáticas populares pero que son manipulados para animar a descargar complementos que luego provocan la infección.

«Desert Falcons» empezó su operación en 2011, pero la campaña estuvo parada en 2012, para reactivarse a finales de 2013.

Hace unos meses algo «importante» ha sucedido, quizás un acontecimiento político que ha reactivado al grupo con todo su ímpetu para colocarse en una fase álgida en sus acciones, según el responsable de Kaspersky.

La investigación se inició después de que los analistas detectaran muestras de acciones de ciberdelincuentes árabes que les hicieron profundizar y descubrir más señales y luego definir patrones que les ayudaron a avanzar en el caso.