La tecnología e internet son herramientas que nos ayudan a conseguir objetivos, facilitar tareas y satisfacer necesidades; sin embargo, y a pesar de sus bondades, a veces estas herramientas son utilizadas para fines ilegales que atentan contra la seguridad de empresas, instituciones públicas y personas.

Una de las industrias más afectadas, y uno de los principales objetivos de los hackers, son las instituciones bancarias.

Aproximadamente, algunas prácticas como el phishing les han costado a las empresas bancarias y financieras hasta 150 millones de pesos, entre 2015 y 2016, de acuerdo a información de la Comisión Nacional Bancaria y de Valores (CNBV), quien también estimó que el 40 por ciento de las afectaciones están relacionadas con esa práctica.

MER Group señaló en un reciente informe que México se ha convertido en el blanco perfecto de los hackers relacionados phishing. Manifestó que existen principalmente tres instituciones bancarias que son los blancos principales de los ciberdelincuentes.

“El modus operandi típico, que encontró el motor de detección de MER, fueron varios sitios con nombres y dominios registrados que se veían muy similares a dos de los bancos más grandes de México”, indica Javier Ethiel Sánchez, director de tecnología de MER Group México.

Los estafadores registran nombres de dominio similares a los de las organizaciones seleccionadas, con la esperanza de explotar los errores tipográficos por la falta de atención a los detalles por parte de los clientes de estas instituciones.

“Nuestro equipo de analistas identificó que se trata de una campaña de phishing dirigida a varios bancos importantes en México y dos sitios web de criptomonedas”, señaló MER Group.

Un análisis más detallado de los dominios reveló que estos albergaban archivos maliciosos que instalan malwares en las computadoras de los clientes bancarios desprevenidos, diseñados para extraer información confidencial.

El método de ataque es el siguiente:

• Esta campaña de phishing se basa principalmente en la interacción con víctimas, cuando se realiza una búsqueda para un banco mexicano, existe un dominio con un error tipográfico que puede ser una ‘j’ en vez de ‘m’, sin embargo este sitio es el malicioso.

“Estas operaciones de cibercrimen utilizan anuncios pagados y otras técnicas de optimización búsqueda para mejorar activamente los resultados de búsqueda de este nombre de dominio mal escrito”, explica Javier Ethiel Sánchez.

• Cuando las víctimas proceden a abrir el sitio web, se les presenta una imagen del sitio original del banco.
• Después de unos segundos, los usuarios son redirigidos a una página de actualización de Java (ruta del archivo /java.php) en el mismo u otro dominio de phishing. Allí, las víctimas reciben una página que les solicita que la actualización de Java sea manual.
• Una vez descargado el archivo, se envía una solicitud GET a un dominio polaco, que funciona como servidor de Comando y Control para la operación de cibercrimen. Por otro lado, también se ejecuta un proceso llamado ‘Windowsystem.exe’ con el cual hay acciones y tareas específicas que se llevan a cabo para el robo de información o la infección del dispositivo; para verificar si es un dispositivo real y no virtual para así evadir la detección por parte de los analistas; para evaluar el entorno del dispositivo antes de ejecutarse, y finalmente para autoeliminarse.

Ante este nuevo método de ciberataque es importante la prevención y estar alertas para evitar ser víctima, tarea que está tanto del lado del usuario como de las empresas bancarias.

Los usuarios deben siempre verificar el URL del sitio y buscar errores tipográficos en el nombre de las instituciones bancarias, además de que se recomienda siempre escribir en la barra de direcciones el URL de la institución bancaria y no hacerlo desde el buscador.

Por otro lado, es necesario que las instituciones bancarias se aseguren de proteger correctamente a sus usuarios y que estén monitoreando constantemente las variaciones de su nombre en dominios desconocidos.