16 países identificaron las afectaciones por este virus que afecta a apps bancarias, billeteras virtuales y aplicaciones de intercambio de criptomonedas.
Un malware está infectando aplicaciones y dispositivos imitando a Google Protect, la herramienta de protección de Android. Este malware conocido como Godfather, o El Padrino, está en más de 400 aplicaciones de Google Play Store, según la investigación de The Hackers News.
Entre las aplicaciones infectadas se encuentran 215 bancos internacionales, 94 billeteras de criptomonedas, 110 plataformas de intercambio de criptomonedas, distribuidas en Estados Unidos, Turquía, España, Canadá, Alemania, Francia y el Reino Unido.
Este malware ya fue detectado en junio de 2021, pero dejó de aparecer durante un tiempo, hasta regresar hace unos meses. Para su funcionamiento El Padrino, se sobrepone a las aplicaciones verdaderas y de esta forma toma los datos que los usuarios ingresan.
La metodología que se utiliza es a través del API de accesibilidad de Android llamada Google Protect, donde logran grabar videos, revisar los clics que hacen las personas, hacer capturas de pantalla, tomar mensajes de texto y rastrear llamadas.
Los investigadores descubrieron la infraestructura de red del virus, cuenta con una dirección de dominio y el control desde otra aplicación; además de tomar el troyano bancario Anubis como base para mejorar sus herramientas de ataque. “Los desarrolladores de Godfather también modificaron el algoritmo de cifrado de tráfico de Anubis, actualizaron varias funcionalidades como las OTP de Google Authenticator y añadieron un módulo independiente para gestionar las conexiones informáticas de redes virtuales”.
¿Cómo se pueden evitar estos ataques?
Ante el avance de este tipo de malwares los usuarios deben saber desde dónde descargan las aplicaciones en las que dan datos personales, especialmente las relacionadas a bancos. La mejor alternativa es optar por las tiendas oficiales de los teléfonos como Google Play Store y App Store.
También es fundamental mantener el teléfono actualizado, para que todos los parches de seguridad estén disponibles, de acuerdo al fabricante del teléfono y el sistema operativo.
Además de reportar cualquier anomalía en el uso de las plataformas bancarias y frenar cualquier proceso ante un reporte de ciberataque.
Otro malware bancario:
Hay actualmente otro malware que está atacando aplicaciones bancarias, llamado Zombinder, donde los ciberdelincuentes usan aplicaciones de autorización de conexión wi-fi, como las de redes públicas, para invitar a las víctimas a descargar una supuesta plataforma oficial que permite establecer la conexión.
Al instalar la misma en el teléfono, el malware tiene la capacidad de realizar diferentes ataques como robar correos electrónicos, códigos de verificación, credenciales y las frases que protegen los monederos de las criptomonedas.
El malware está escondido en aplicaciones llamadas “zombie”, de ahí su nombre. Estas plataformas no son de utilidad para el usuario, pero se encargan de infectar el dispositivo, incluso con malwares de terceros.
(Agencia CyTA-Fundación Leloir)-. La pandemia del nuevo coronavirus ocurre mientras estamos viviendo una de las peores epidemias de dengue de la historia de nuestro país y de la región”, dice Andrea Gamarnik, jefa del Laboratorio de Virología Molecular de la Fundación Instituto Leloir (FIL).
Un equipo liderado por Gamarnik y Laura Estrada, profesora del Departamento de Física de la Facultad de Ciencias Exactas y Naturales (FCEyN) de la UBA e investigadora del Instituto de Física de Buenos Aires (IFIBA, CONICET-UBA), logró visualizar por primera vez cómo se mueve y qué recorrido hace la proteína de una estructura que rodea el material genético del virus del dengue en una célula viva infectada, y cuya función es clave en el proceso de infección. El trabajo fue publicado por la revista “Scientific Reports” de la editorial Nature.
La estructura se denomina cápside. “Mientras el virus infecta a una célula, se pudo captar cómo la cápside del dengue se produce y se acumula en tiempo real. El conocimiento que arroja este trabajo contribuye al desarrollo futuro de vacunas y antivirales efectivos”, señaló Gamarnik, quien añadió que los resultados del estudio fueron posibles mediante la aplicación de microscopias avanzadas desarrolladas por el grupo encabezado por Estrada.
La idea del trabajo surgió en un encuentro fortuito en un evento organizado por la Fundación Bunge y Born, donde el tema de conversación se centró sobre la visibilización de la mujer en la ciencia y la problemática de género. En ese contexto, la física Estrada y la viróloga Gamarnik, ambas investigadoras del CONICET, se dieron cuenta que tenían intereses comunes y diagramaron un plan ambicioso de ciencia básica que demandó años de esfuerzo y dedicación.
Las científicas aunaron esfuerzos para resolver un problema concreto. El proyecto comenzó cuando Estrada propuso diseñar un microscopio a medida para estudiar proteínas del dengue y Gamarnik propuso hacer virus genéticamente modificados para poder estudiarlos con ese instrumento.
Otras protagonistas del proceso fueron dos becarias doctorales del CONICET: la física Manuela Gabriel, integrante del grupo de Estrada, y la viróloga molecular Guadalupe Costa Navarro, del laboratorio de Gamarnik.
“Realizaron un trabajo formidable. Primero tuvieron que aprender a hablar un lenguaje común: Manuela aprendió de virus y Guadalupe sobre óptica y trayectorias de moléculas únicas. Los experimentos los planificaron y ejecutaron juntas, aprendiendo la una de la otra. Las reuniones de trabajo eran todo un desafío, los dos idiomas científicos debían fusionarse para poder interpretar y diseñar los experimentos. El resultado fue un éxito”, comentó Gamarnik, distinguida en 2016 con el Premio internacional L’Oréal-UNESCO “Por las Mujeres en la Ciencia” y líder del equipo que semanas atrás desarrolló el test serológico “COVIDAR IgG” para detectar anticuerpos contra el coronavirus SARS-CoV-2 registrado en la ANMAT.
Del logro recién publicado también participaron Luana de Borba, investigadora del CONICET en el equipo de Gamarnik en la FIL, y Andrés Rossi, responsable del Servicio de Microscopía e Imágenes de la FIL.
Una proteína clave en la infección del dengue
La proteína de la cápside del virus del dengue se produce en grandes cantidades durante una infección y termina acumulándose en el corazón de la partícula viral, protegiendo al material genético. Esta proteína es esencial para que se formen los virus y para que éstos puedan infectar a nuevas células humanas o del mosquito.
“La proteína de cápside es un blanco muy interesante para el desarrollo de estrategias antivirales”, puntualiza Gamarnik.
“Cuando el virus infecta a una célula, vimos que la proteína de cápside rápidamente se acumula en el citoplasma y en el lapso de horas se moviliza al núcleo celular, donde se concentra en los nucleolos. Este movimiento lo pudimos ver en tiempo real”, comenta la física Manuela Gabriel.
“Las proteínas de cápside están surgiendo como blancos prometedores para el diseño de una nueva generación de agentes terapéuticos, que, al estar basados en proteínas propias del virus, se espera que resulten en terapias más específicas que las basadas en blancos celulares”, señaló Estrada. “La caracterización profunda de proteínas virales es el primer paso”.
El estudio requería de un grupo de trabajo altamente interactivo, constituido por personas con formaciones y experiencias diversas que iban desde la manipulación del virus y el ensamblado de un microscopio “a medida” hasta la adquisición cuidadosa de los datos y la escritura de código para el análisis de grandes volúmenes de información.
“Tratar de aportar a la solución de un problema urgente y relevante para el país, fue el verdadero motor que impulsó este trabajo en la frontera entre la física y la biología”, explicó Estrada.
“Nos propusimos captar a la proteína en movimiento en células vivas infectadas, un enorme desafío que incluía ‘ver’ algo in vivo muy difícil de captar con los instrumentos existentes”, agregó Estrada.
Como resultado de este trabajo, las científicas demostraron que la proteína de cápside se comporta de manera muy diferente según la región dentro de la célula en la que se encuentre.
“Por ejemplo, dentro del citoplasma, la proteína de cápside se mueve sin una dirección preferencial, mientras que en el núcleo de la célula muestra un movimiento mucho más organizado, lo que sugiere algún grado de interacción con el entorno”, afirmó Manuela quien recolectó miles de imágenes para realizar este análisis.
Las investigaciones pudieron determinar que la proteína recorre aproximadamente un área de 20 micrones cuadrados por segundo, indicó Guadalupe. Y agregó: “También determinamos que esta velocidad se modifica con el tiempo transcurrido desde el comienzo de la infección, datos que dieron información sobre el comportamiento de la molécula”.
Guadalupe, quien ahora está dedicada a producir la proteína Spike del nuevo coronavirus para escalar la producción del test “COVIDAR IgG”,señaló: “Conocer el comportamiento de la proteína de cápside del virus del dengue es fundamental para avanzar en la búsqueda de formas de mitigar las infecciones. Sobre todo, sabiendo que estamos frente a un virus que causa grandes epidemias y que aún no se ha podido controlar”.
“Este proyecto nos dejó un gran aprendizaje sobre el valor que tiene sumar diferentes áreas del conocimiento para resolver una necesidad concreta. Desde el CONICET tenemos grandes capacidades que, en el caso del trabajo publicado, fueron volcadas para entender el funcionamiento del virus del dengue. Pero que, durante la pandemia de COVID-19, también las estamos aplicando para desarrollar herramientas que ayuden a controlar al nuevo coronavirus”, concluyó Gamarnik.
El ransomware (virus que retiene el acceso a archivos hasta el pago de un rescate) WannaCry ha secuestrado desde el pasado viernes computadoras en 150 países de compañías como la española Telefónica, el sistema de ferrocarriles alemán, la institución pública de salud de Reino Unido o el gigante de mensajería estadounidense FedEx.
Europol ya estima en 200.000 el número de víctimas y, pese a haber sido parcialmente contenido por un joven británico un día después, este lunes se esperaba que el ataque se reanudara con más fuerza.
Pero, ¿quién está detrás de este virus y por qué es tan difícil rastrearlo?
Tres factores
El director de ciberseguridad del centro tecnológico español Eurecat, Gonzalo Asensio, le explica a BBC Mundo que hallar al responsable será complicado debido a tres factores.
El primero, es que el código del virus ha sido escrito desde un principio con la intención de ocultar cualquier dato del autor, como el país o el idioma.
El segundo, dice, radica en la estrategia usada para propagar el malware: correos electrónicos diseñados para parecer auténticos en cada área afectada pero que, en realidad, proceden de cuentas anónimas.
Por último, el rescate económico: el atacante promete devolver el control de la máquina a cambio de una suma de dinero que se debe pagar en bitcoins, una moneda virtual que garantiza el anonimato.
“Si coges un billete de 50 euros y lo guardas en un sitio, es fácil rastrearlo”, asegura Asensio.
“Pero si lo divides en cientos de cachitos y guardas cada trocito en una ubicación distinta, es muy difícil saber quién está detrás. Bitcoin no trabaja con entidades financieras y, cuando quieres usar el dinero, es capaz de juntar estos pedacitos“.
“Bitcoin es un sistema descentralizado, no es algo estático. Es un conjunto de ordenadores repartidos por todo el mundo procesando su información”, detalla.
“Por eso lo utilizan los delincuentes para tráfico de armas o de drogas. Porque no hay una cuenta asociada a un nombre y un apellido, sino que tú tienes una cartera de bitcoins con un código para cuando quieras usarla”, detalla.
La profesora y experta en temas de criptografía, seguridad y comunicaciones de la Universidad Pompeu Fabra, Vanesa Daza, coincide en que el empleo de bitcoins es clave.
“El ransomware existe desde los 80, pero estaba en desuso porque no habían monedas que permitieran no ser rastreados”, le explica a BBC Mundo.
La atención mediática, una desventaja
A esto se suma una dificultad específica de WannaCry: la atención mediática.
La prensa lleva días pendiente de cómo se está desarrollando esta crisis y se hace eco de cada nuevo elemento del que tiene conocimiento. Algo que para Asensio puede resultar contraproducente.
Por ejemplo, la noticia de que un joven británico que se hace llamar MalwareTech encontró por accidente una forma de contener parte del virus corrió como la pólvora pocas horas después de que sucediera.
Los medios de comunicación explicaron su solución con detalle: compró el dominio o dirección de Internet que el software maligno usaba para esparcirse.
“Todo lo que vamos descubriendo se va haciendo público y los creadores de este malware pueden decir: ‘¡Ah!, ¿o sea que yo tengo un dominio que se me ha escapado? Vale, pues modifico el código“, sostiene el experto.
La colectividad de la red añade otro riesgo: que otros hackers intenten unirse al ataque.
“Dar tantos datos puede estar haciendo que gente que no esté al tanto de esta actividad ahora sepa que existe y quiera intentar intervenir. Pero al menos sirve para concienciar a las personas sobre la importancia de protegerse”, añade Daza.
El investigador de la firma de ciberseguridad AlienVault, Chris Doman, aseguró al portal International Business Times que “alguien, que probablemente no sea el atacante original, hizo un cambio muy pequeño al malware para que se conecte a un dominio diferente, lo que ha permitido que se propague de nuevo”.
El fundador de la empresa Comae Technologies, Matt Suiche, afirmó a este mismo medio de comunicación que encontró una variante que usaba otro dominio y que, con el método de MalwareTech, consiguió pararlo. Pero advirtió que otra compañía había detectado una versión en la que no era posible utilizar esta táctica.
¿Quién está detrás de WannaCry?
Pese a las dificultades, las autoridades de distintos países han conseguido en el pasado identificar y arrestar a ciberdelincuentes que han llevado a cabo ataques parecidos.
Los casos más recientes son los de dos ciudadanos rusos detenidos este año en Barcelona.
A uno de ellos, Pyotr Levashov, el FBI lo buscaba desde 2006. Está acusado de utilizar un robot informático con el que supuestamente era capaz de enviar cuatro billones de mensajes diarios con el fin de infectar computadoras con ransomware.
Al otro, Stanislav Lísov, se le acusa de cometer estafas bancarias.
“En China, Rusia, Ucrania, países del Este [de Europa], este tipo de delitos suele tener un mayor auge por varios motivos. Primero, porque la ley allí no penaliza los ciberdelitos como lo hace con los tradicionales”, afirma Asensio.
“Además, hay gente con pocos recursos, pero muy lista y eso ha hecho que haya bastantes grupos de ciberdelincuentes que operen como una empresa normal, pero de manera no legítima“.
Las autoridades europeas cooperan entre sí a la hora de resolver estos crímenes.
Pero, más allá de sus fronteras, la colaboración se complica. El único acuerdo internacional en esta materia es la Convención de Budapest, que países como Rusia y China se han negado a firmar porque permitiría a agentes de otros Estados investigar libremente en su territorio.
Además, el acceso de este pacto está limitado a las democracias occidentales.
¿Un solo autor?
Por las características técnicas de WannaCry, el creador podría ser solo una persona. Pero el experto cree que el modelo de recaudación de los rescates elegido sugiere que se trataría de una banda organizada.
“Aún así, han hecho un ataque tan extenso… Si yo quiero ganar dinero, lo hago poco a poco. Área por área. Pero al ser tan masivo, puede indicar que se haya hecho para demostrar algo, su propio ego o lanzar un mensaje que diga ‘Si en poco tiempo he podido hacer esto, imaginaros en un futuro y con más recursos”, sostiene.
El ego es un factor clave en este tipo de prácticas, ya que ha hecho caer a muchos delincuentes, como recuerda el investigador de Eurecat: “A veces se ha encontrado a los autores porque por alarde, por sacar pecho o porque ‘quiero que se vea cómo la he liado’, ellos mismos confiesan”.
“Va a ser muy difícil rastrear al culpable, pero nada es imposible”, insiste Daza.
“Solo hace falta que dé un paso en falso y que quienes lo investigan estén atentos”.