La ciberdelincuencia se ceba en las pymes durante el estado de alarma

Víctor Deutsch    6 mayo, 2020
Ciberseguridad en las pymes durante el estado de alarma

Las circunstancias excepcionales que estamos viviendo desde mediados de marzo de 2020 han producido cambios radicales en el segmento de las pymes.

Las empresas que pudieron continuar operando han tenido que adaptar rápidamente sus procesos internos a las nuevas reglas de distancia social, confinamiento domiciliario, restricciones al transporte y necesidades de conciliación de sus trabajadores.

Las tecnologías para el teletrabajo, el comercio electrónico, los canales web 2.0 y la logística de “última milla” se han implementado de forma vertiginosa, basándose en la robusta infraestructura de Internet en España.

A modo de ejemplo, basta ver cómo se ha transformado el sector educativo en sólo unas semanas.

Sin embargo, hay algo que no ha cambiado: la amenaza de las organizaciones criminales que operan en Internet y que han visto la crisis como una oportunidad.

Han vislumbrado esa mayor dependencia de la Red y han evaluado cuáles son las tendencias que dirigen ese mayor tráfico, para adaptar sus prácticas y obtener mayores beneficios. 

Las pymes suelen ser el segmento más vulnerable (y más en estas circunstancias de confinamiento), dado que carecen de capacidad para invertir en grandes soluciones de ciberseguridad.

Además, tienen una menor capacidad de recuperación ante un incidente grave que implique lucro cesante, daños a los activos o demandas de clientes.

Gráfico sites pymes. Informe CSE

 

Conexión Segura Empresas

Desde hace un año, Telefónica ofrece una solución en la red, Conexión Segura Empresas (CSE), para todos sus clientes de Fusión Empresas. En los últimos doce meses, más de 30.000 clientes se han suscrito a esta plataforma. 

Los datos que ofreceremos a continuación se basan en la información recogida por las herramientas de “inteligencia” de esta solución, que nos permiten saber qué está ocurriendo con las pymes en el ciberespacio, durante la crisis del COVID-19.

 

Amenazas que están afectando a las pymes

A partir de estas fuentes, podemos determinar que las principales amenazas que afectaron a las pequeñas y medianas empresas en España desde comienzos de marzo son las siguientes:

 

1. Campañas de phishing relacionadas con el coronavirus

En cuanto a frecuencia, las campañas de phishing se mantuvieron relativamente estables durante el mes de marzo.  Sin embargo, en el mes de abril se detecta esta anomalía:

Los responsables son los dominios 40.90.22.183/184/185, que ya estaban presentes en marzo. Ya que se trata de direcciones IP, son conexiones que se realizan en segundo plano o de manera automática, ya sea mediante redirecciones o por conexiones realizadas por alguna aplicación instalada.

Estas direcciones IP mostraban una página de login falsa de la cuenta de Microsoft, probablemente generada para aprovechar el exponencial aumento en la suscripción de nuevas licencias de puesto de trabajo o videoconferencia. Actualmente se muestran inactivas.

Adicionalmente, aunque con menos frecuencia, durante el mes de abril se han detectado estas campañas que aprovechan la crisis del coronavirus. Son las siguientes:

  • Coronavirus.app: denunciado como phishing, es un mapa interactivo donde se aceptan donaciones.
  • Nacerentiempodelcoronavirus.com: denunciado como estafa por el Centro Criptológico Nacional.
  • Netflix-usa.net: es una estafa que afirma que Netflix está ofreciendo licencias gratuitas durante el aislamiento social. Además de obtener datos de cuentas de Netflix reales (los pide), se insta a descargar una supuesta aplicación para utilizar la suscripción gratuita. Esta aplicación es un virus que daña dispositivos móviles.
  • Coronavirus-monitor-ru (descargas maliciosas) y datoscoronavirus.es (phishing) son menos frecuentes, pero también han sido denunciados.
Páginas y ficheros maliciosos. Informe CSE

 

2. Virus informáticos

Además de las campañas específicas relacionadas con el coronavirus, hay una serie de amenazas que ya se detectaban anteriormente, pero que siguen activas y que son muy peligrosas porque, debido al mayor tráfico de Internet, se “cuelan” a través de banners de publicidad, botones ocultos, intentos de descarga fallidos o enlaces de correo de spam. Por ejemplo:

  • Virus Conficker

El dominio Trafficconverter.biz es el responsable de la propagación de un virus muy peligroso conocido como ConFicker. Es del tipo gusano, el cual crea botnets, roba identidades y datos personales y utiliza el terminal infectado para mandar spam.

Virus Conficker

Durante el mes de marzo se realizaron 887.506 bloqueos de este dominio (82% de 1.083.469), entre los clientes de CSE.

  • HEUR:Downloader.Win32.DriverPack.gen

Esta amenaza ha sido bloqueada un total de 158.352 veces (94% del total de intentos de descarga). La descarga se realizaría automáticamente debido a un programa instalado sin ser consciente el cliente.

Instala y actualiza automáticamente drivers de Windows. Sin embargo, también descarga programas de dudosa legitimidad, los cuales pueden ser malware.

  • trk.appittech.com

Este dominio fue bloqueado 47.350 veces (4% de los bloqueos de página). Los usuarios normalmente llegan a este tipo de websites haciendo clic en banners de publicidad o por redirecciones provocadas por malware ya instalado en el terminal.

Si bien el dominio actualmente está offline, se sospecha que se hacía pasar por una página oficial de aplicaciones. Su comportamiento distaría mucho de eso y en su lugar alojaría aplicaciones maliciosas y robaría los datos de pago de las víctimas.

De las estadísticas de CSE se desprende que el servicio permitió evitar incidencias informáticas a 8.582 pymes (un 30% del total cubierto) en sólo un mes, lo que indica el grado de exposición del colectivo.

 

Recomendaciones básicas de ciberseguridad

A pesar de la menor actividad económica durante la pandemia, las actividades delictivas no han cesado y se aprovechan de la situación actual. En este sentido, conviene recordar algunas recomendaciones básicas de seguridad:

Recomendaciones de ciberseguridad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *