Crónica del ataque a un youtuber que sabía de ciberseguridad

2 de noviembre de 2021

Hace poco se conocía la noticia: están atacando a los youtubers con mayor número de seguidores para extorsionarles. Los ataques van en aumento y las técnicas no son nuevas pero, desde hace tiempo, se están detectando estos ataques y siguen aumentando. De hecho, desde hace algo más de un año, cuando ocurrió esta historia.

El comienzo del ataque

Este youtuber tiene más de 700.000 suscriptores y es muy conocido en el sector. Su día a día es tratar con proveedores, fabricantes, anunciantes… que le envían correos con documentos adjuntos. Sabe perfectamente que no debe pinchar en enlaces a dominios desconocidos o con descargas, usa antivirus para comprobar los documentos ofimáticos y PDFs, y no se fía de los que le entran a puerta fría. Doble factor de autenticación en todas sus cuentas y… un amigo al que llamar en caso de emergencia.

Un día recibió un correo de un proveedor con el que llevaba varios días intercambiando emails. No lo conocía, pero la relación se había establecido. En realidad era el atacante, y se había tomado la molestia de hablar con nuestro youtuber, proponerle el negocio y esperar al momento adecuado (varios días) para enviarle un supuesto vídeo. El fichero pesaba 65 megabytes, así que envió al youtuber un enlace a Dropbox que este descargó en su ordenador.

Aun así, no se fiaba. Miró la extensión, sabe que no debe lanzar ejecutables. La extensión era SCR. El atacante no se molestó en usar doble extensión, pero bien podía haberlo hecho. Aun así, nuestro youtuber sí que ha configurado Windows para mostrar las extensiones más conocidas. El icono del archivo representaba un vídeo.

¿Qué es SCR? Se preguntó. Buscó en Google y comprobó que era algo relacionado con los salvapantallas. Podría tener sentido, siendo un vídeo, pensó. A continuación pulsó con el botón derecho con el ánimo de analizarlo con su antivirus. Nada, no lo detectó. Vio algo curioso. “Test” en negrita. ¿Podía testear el archivo antes de lanzarlo? En su lógica, tenía sentido, concluyó que sería una buena medida de seguridad lanzar en “test” este SCR antes de ejecutarlo. Además, él no trabaja con la cuenta de administrador y ya lo había analizado el antivirus, lo que le hacía sentir más seguro. Así que lo lanzó como “test”. Lo que no sabía es que lo estaba ejecutando.

Los SCR son extensiones ejecutables en todos los sentidos. Los salvapantallas (y esto es algo poco conocido) tienen la posibilidad de ejecutarse en “test”, y se puede comprobar en cualquier Windows. Pero realmente poco tiene de prueba… lanzar un SCR en “test” es igual a ejecutar y, por tanto, toda la carga del malware se lanza exactamente igual. El icono del vídeo es trivial de introducir en el fichero y el peso de 65 megas es artificial, puro relleno, para mejorar la impresión de que es un vídeo. El youtuber ya estaba infectado.

La sospecha y la llamada

El supuesto vídeo no hizo nada, no se reproducía. Y esto alertó a nuestro youtuber. Algo estaba pasando, puesto que la CPU del sistema llegaba al 100% a ratos. Miró la pantalla, intentando matar algún proceso, pero no estaba seguro de cuál era el malware o qué estaba haciendo. A los pocos minutos decidió apagar el ordenador y llamarme a título personal.

Me contó lo que había ocurrido, el supuesto vídeo, las precauciones… Le dije que inmediatamente cambiase todas la contraseñas, mientras hablábamos, que lo hiciese desde un móvil o tablet diferente y protegiese su canal. ¡Pero si tengo doble factor!, me decía. Le dije que no importaba, que podían haberle robado la sesión con las cookies. Que el SCR en realidad podía haber enviado al atacante todos los tokens de las sesiones abiertas en el navegador y, si estaba atento en ese momento (el atacante), podría llegar a acceder a sus cuentas. De hecho, me contó que el atacante le pidió expresamente que le indicara cuándo más o menos vería el vídeo, que tenía mucha prisa. Le pregunté si almacenaba alguna contraseña en el navegador y me dijo que no, menos mal.

Mientras le advertía de esto, intentó cambiar algunas contraseñas. Le costaba recordar todas las identidades que utilizaba en la red, no tenía un procedimiento de emergencia paso por paso, y ahora lo echaba de menos.

Pero en la mitad de la llamada… se cortó. Dejé de oírle. Intenté llamarle pero no había forma, el teléfono no estaba encendido. Era como si hubiera desconectado todo por completo de forma súbita. Aunque era raro, pensé que se le había acabado la batería y en aquel momento no podía cargarla. Después de unos 15 minutos me llamó de vuelta. Ahora sí tenía miedo.

El ataque

Me contó que, mientras hablaba, el teléfono se había reiniciado y comenzado a reformatear en sus manos. Era un Android. Se sentía observado, tenía verdadero pánico. ¿Usas el servicio de "Find my device"? Le pregunté. Sí, claro, me respondió. Estaba claro que el atacante había accedido a la cuenta de Gmail asociada al teléfono y había solicitado el formateo en remoto del Android. ¿Esa cuenta es la misma que usas para YouTube? ¡No!, me dijo. ¡Esa cuenta es solo para el teléfono! Bien hecho. Era justo una de las cuentas a las que no había cambiado la contraseña y cerrado sesión. La única a la que el atacante había podido acceder y, ahora, desesperado, estaba intentando infligir el máximo daño.

Le pedí tranquilidad. Disponía de un USB de arranque con una distribución Linux, así que le guié para poder pasar un antivirus, borrar el archivo dañino (que ya no estaba) y potenciales secuelas, recuperar algunos documentos, etc. No se fiaba así que finalmente tras recuperar su información, decidió formatear su Windows.

Repasamos, una vez más, todas sus cuentas y, en un sistema completamente nuevo, terminó de cambiar y poner en orden sus contraseñas. No le recomendé formatear el Android porque ya lo había hecho el atacante.

Las conclusiones

Nuestro YouTuber hizo muchas cosas bien:

  • Tenía doble factor de autenticación.
  • No se fiaba de nadie. Cuestionaba los archivos y los envíos.
  • No almacenaba contraseñas en el navegador, y segmentaba las cuentas (una para el teléfono, otra para el canal…).
  • Disponía de otros sistemas desde donde operar en caso de emergencia. Como una llave USB o tablets.
  • Apagó el ordenador en cuanto sospechó un ataque.

Las que hizo mal:

  • No indagó más en la naturaleza de un SCR, que es un ejecutable. Aun así, el “test” del menú contextual no ayudó a tomar una decisión.
  • No disponía de un listado de cuentas para cambiar contraseñas en caso de emergencia.

Y aun así, tuvo suerte. El cambio de contraseñas rápido fue efectivo. Le permitió que no entraran en su canal o en su correo. La única cuenta que se le olvidó, la asociada a su teléfono Android, sufrió la ira del atacante. Parece que buscaba de forma muy concreta llegar al canal y por tanto llegar al teléfono no le supuso un botín a la altura.

Las conclusiones más claras podrían ser.

  • Con la concienciación no basta. O lo que es lo mismo, toda concienciación es poca, según se mire.
  • En cualquier momento, todas nuestras identidades digitales o ficheros se pueden ver comprometidos. Aparte del respaldo, es necesario un protocolo claro que ejecutar desde otro sistema. Puede ser tan sencillo como una lista en un TXT y una serie de URLs donde cambiar las contraseñas, pero es conveniente que exista, junto a un sistema de arranque limpio para un ordenador, dado el caso.