Publicaciones

Ciberamenazas financieras en 2021

2021 ha sido un año lleno de acontecimientos en cuanto a amenazas digitales para organizaciones e individuos, y las instituciones financieras no fueron ajenas a ellas. A lo largo del año pasado, observamos que los ciberdelincuentes siguieron teniendo en la mira a nuestros usuarios con herramientas y técnicas surgidas debido a la pandemia. Las imperfecciones de la transición al trabajo remoto o híbrido aún representan una gran amenaza para las empresas. Y como si esto fuera poco, los problemas económicos causados por la pandemia sólo agravaron el problema. Obligados por la pobreza y el desempleo, los ciberdelincuentes intensificaron sus actividades maliciosas contra los clientes bancarios y la infraestructura bancaria.

Las amenazas financieras bien conocidas siguen teniendo un papel destacado. SpyEye, desarrollado en 2009 y descrito como un “troyano bancario con posibilidad de captura de formularios”, pasó de ser el octavo malware bancario más común, con una participación del 3,4% en 2020, al segundo más común en 2021, con un 12,2%. Emotet (9,3%), descrito por Europol como “el malware más peligroso del mundo”, experimentó una caída de cinco puntos porcentuales entre 2020 y 2021. Esto se debe a que las agencias policiales de todo el mundo se pusieron de acuerdo para obstruir la infraestructura de la botnet a principios de 2021, por lo que las actividades del malware se vieron frustradas durante al menos parte del año.

Si bien en 2021 se observó una expansión de las amenazas a las organizaciones financieras a nivel mundial, también se notó que el malware para PC y dispositivos móviles continuó con la tendencia a la baja vista en 2020. El enorme cambio de los objetivos y métodos de los ciberdelincuentes observado en 2020 se afianzó en 2021. Los ciberdelincuentes encontraron formas de aprovechar los cambios provocados por la pandemia, adaptando sus objetivos y métodos para aprovechar el paso hacia el teletrabajo y las compras en línea. Este informe tiene como objetivo ofrecer información detallada sobre el panorama de las ciberamenazas financieras de 2021.

La investigación descrita en este informe es una continuación de nuestros informes anuales sobre amenazas financieras anteriores (2019, 2020), y brinda una descripción general de las últimas tendencias y los principales eventos en el panorama completo de amenazas. Aquí analizamos las amenazas de phishing con que se suelen encontrar los usuarios y las empresas, así como la prevalencia de varios programas maliciosos financieros para Windows y Android.

Metodología

A los efectos de este informe, “malware financiero” se refiere al software malicioso que apunta a entidades del sector de servicios financieros, como la banca en línea, los sistemas de pago, los servicios de dinero electrónico, las tiendas electrónicas y los servicios de criptomonedas. El término también se utiliza para describir el malware que busca penetrar las infraestructuras de TI de las organizaciones financieras.

Además del malware financiero, analizamos las actividades de phishing, en particular el diseño y la distribución de páginas web y correos electrónicos con temas financieros, destinados a hacerse pasar por organizaciones y sitios legítimos conocidos para engañar a las posibles víctimas e inducirlas a que proporcionen su información privada a los atacantes cibernéticos para que éstos la exploten.

Para examinar el panorama de las amenazas en el sector financiero, analizamos las actividades maliciosas en los dispositivos de los usuarios de los productos de seguridad de Kaspersky, quienes voluntariamente han puesto sus datos a nuestra disposición a través de la red Kaspersky Security Network. Las actividades maliciosas neutralizadas en dispositivos con productos Kaspersky se evaluaron junto con estadísticas de usuarios corporativos, que también se recopilaron con el consentimiento de los clientes que aceptaron compartir los datos de sus soluciones de seguridad empresarial. Todas las estadísticas recolectadas por Kaspersky Security Network fueron anónimas.

Los datos de 2021 se compararon con los datos de 2020 para evaluar las tendencias año tras año en el desarrollo de malware. Sin embargo, para una mayor comprensión de las tendencias evolutivas del malware financiero, también se incluyen referencias ocasionales a años anteriores.

Principales hallazgos

Phishing:

  • En 2021, el 8,2% de los usuarios sufrieron ataques de phishing.
  • El phishing relacionado con el comercio electrónico siguió superando al de la banca, como lo hizo en 2020, y representó el 17,6% del total de esquemas de phishing en 2021, en comparación con el 11,1% de la banca.
  • Los usuarios de PayPal mantuvieron su posición como los usuarios de sistemas de pago más atacados, y las páginas de phishing que fingen ser este sistema de pago representaron el 37,8% de dichos ataques en 2021. Visa, anteriormente líder en la categoría desde hace mucho tiempo, mantuvo su cuarto lugar con una participación del 9,4%.

Malware para PC:

  • En 2021, la cantidad de usuarios atacados por troyanos bancarios siguió disminuyendo. El descenso fue de 625 364 en 2020 a 405 985 en 2021, una caída del 35%.
  • Los países con los usuarios más específicos en 2021 fueron Turkmenistán, Afganistán y Tayikistán.
  • Zbot (20,5%) siguió siendo el malware bancario más frecuente, seguido de SpyEye (12,2%), que experimentó un aumento notable de su presencia, y CliptoShuffler (10,2%).
  • Las amenazas corporativas de malware bancario crecieron casi dos puntos porcentuales hasta alcanzar el 37,8%. El 62,2% restante representa ataques de malware que apunta a la banca de consumo.

Programas maliciosos para dispositivos móviles:

  • En 2021, la cantidad de usuarios de Android atacados por malware bancario experimentó otra caída abrupta, con índices que descendieron de 294 158 en 2020 a 147 316 en 2021: una caída del 50%.
  • Entre los países y territorios de todo el mundo, el mayor porcentaje de usuarios de Android atacados por malware bancario se observó en Japón, España y Turquía. Turquía reemplazó a Taiwán entre los tres primeros, y este último abandonó el TOP 10.

Phishing financiero

El phishing es una de las formas más frecuentes de ciberdelincuencia debido a la mínima inversión de esfuerzo que exige y al hecho de que realmente funciona. Por lo general, se basa en un esquema intrínsecamente simple: mediante el uso de correos electrónicos elaborados con esmero o notificaciones que fingen ser mensajes de bancos, organizaciones gubernamentales, plataformas de entretenimiento (en realidad, cualquier servicio), los ciberdelincuentes pueden engañar a los usuarios para que sigan un enlace a un sitio web fraudulento y proporcionen su información de pago o personal, o incluso descarguen programas maliciosos.

En 2021, las tecnologías antiphishing de Kaspersky detectaron más de 250 millones de intentos de seguir un enlace de phishing en las computadoras de los usuarios y el 8,2% de los usuarios sufrieron un ataque. El 41,8% de esos ataques estaban relacionados con el phishing financiero.

>Porcentaje de ataques de phishing financiero (del total de ataques de phishing) detectados emopor Kaspersky, 2016-2021 (descargar)

En este caso, el “phishing financiero” se refiere no solo al phishing específico de la banca, sino también a los sistemas de pago y las tiendas electrónicas. El phishing de sistemas de pago incluye páginas que se hacen pasar por marcas de pago conocidas, como PayPal, MasterCard, American Express, Visa y otras. El de tiendas electrónicas se refiere a tiendas en línea y sitios de subastas como Amazon, Apple Store, Steam, eBay, etc.

En 2021, los casos de phishing detectados por Kaspersky mostraron que el phishing en tiendas electrónicas era el más común, representando el 17,6% de todo el phishing y más del 40% del phishing financiero. Atribuimos este enorme volumen al impacto de la pandemia en los hábitos tecnológicos de los usuarios, muchos de los cuales aumentan la cantidad de cosas que compran en línea, lo que a su vez aumenta la cantidad potencial de blancos para los ciberdelincuentes.

Los sistemas de pago representaron alrededor de un tercio del phishing financiero y los bancos el resto, con un 26,6%, lo que representa el 11,1% de todos los casos de phishing.

Distribución de los casos de phishing financiero por tipo en 2021(descargar)

El siguiente ejemplo de phishing relacionado con la banca muestra la similitud que tienen las páginas falsas con las empresas auténticas que están suplantando. Los phishers usan el logo del banco y una foto de su oficina. Las víctimas la confunden con una página bancaria real y, sin darse cuenta, transmiten toda la información necesaria para acceder a sus cuentas.

Página de verificación de cuenta y de inicio de sesión de phishing. Falsa, pero idéntica a la de la empresa estadounidense de servicios financieros Wells Fargo.

Nombres de sistemas de pago más utilizados en esquemas de phishing financiero, 2021 (descargar)

Como muestra el gráfico anterior, PayPal fue, con mucho, el sistema de pago más utilizado para los ataques de phishing, con un 37,8% en 2021.

Este ejemplo de una página de phishing dirigida a los usuarios de PayPal pide directamente a las posibles víctimas que incluyan sus datos de pago.

Mientras tanto, Mastercard ocupó el segundo lugar en el ranking de sistemas de pago atacados, con un 12,2%. Las estafas de phishing de American Express también se han mantenido constantes a lo largo de los años, con un 10% en 2021.

Marcas de tiendas electrónicas más utilizadas en esquemas de phishing financiero, 2021 (descargar)

A lo largo del año pasado, los estafadores lanzaron una multitud de ataques a los usuarios de varias plataformas minoristas. En 2021, Apple fue la marca más utilizada en esquemas de phishing, con un 48,78%. Amazon ocupó el segundo lugar con un 21,48%. Al mismo tiempo, fue notable que eBay haya tomado solo el 5,32% en 2021. Alibaba, una empresa tecnológica multinacional china, también se encuentra entre las cuatro principales tiendas en línea atacadas en 2021. Los usuarios de esta empresa fueron el objetivo del 4,14% de los esquemas de phishing.

Ejemplo de página de inicio de sesión de phishing dirigida a clientes de Amazon en todo el mundo.

Un fenómeno digno de mención fue la prominencia de las estafas de phishing relacionadas con criptomonedas. En 2021 hubo más de 460 000 intentos de phishing relacionados con criptomonedas. Esto podría explicarse potencialmente por la tendencia creciente y la legitimación de las NFT y las criptomonedas, así como los precios de las criptomonedas, que se dispararon a fines de 2020 y se mantuvieron altos durante 2021.

Un ejemplo de página de phishing dirigida a inversores y prestatarios de varias criptomonedas

Es probable que los esquemas de phishing relacionados con criptomonedas crezcan a medida que este nuevo sistema de pago digital siga aumentando en popularidad, porque con una mayor aceptación, surgen más víctimas potenciales de las actividades delictivas cibernéticas. Sin embargo, los precios de las criptomonedas no deben subestimarse: si Bitcoin cae en 2022, el interés general en las criptomonedas también puede caer. Sin embargo, en febrero de 2022 observamos que comienza a repuntar.

Malware bancario para PC

Este estudio analiza el malware bancario utilizado para robar las credenciales necesarias para acceder a la banca en línea de las víctimas o a las cuentas de los sistemas de pago y para interceptar contraseñas de un solo uso para la autenticación de dos factores.

Nuestros hallazgos mostraron que, en 2021, la cantidad de usuarios atacados con malware bancario siguió disminuyendo, pasando de 625 364 en 2020 a 405 985 en 2021: una caída del 35%. Esto sigue una tendencia cada vez más descendente, porque esta cifra cayó un 20% entre 2019 y 2020, y cerca de un 13% entre 2018 y 2019.

Esta tendencia se atribuye a la naturaleza cada vez más específica de los ataques, ya que los ciberdelincuentes pasan a priorizar los objetivos de grandes empresas. Sin embargo, las personas y las pequeñas empresas siguen siendo una gran proporción de las víctimas de grupos ciberdelincuentes como Zbot, SpyEye, CliptoShuffler y Emotet, entre otros.

Cambio dinámico en el número de usuarios únicos atacados mediante malware bancario, 2019 – 2021 (descargar)

Los principales actores del malware bancario

Cada año, detectamos varias familias de malware bancario: grupos de aplicaciones con técnicas de ataque similares y que se basan en el mismo código. El ciclo de vida de estas familias de malware varía: algunas se vuelven obsoletas y la prevalencia de otras no hace más que expandirse.

TOP 10 familias de malware bancario para PC, 2021 (descargar)

Nuestro seguimiento de las familias de malware bancario mostró que cerca de la la mitad de todos los usuarios afectados fueron atacados sólo por 4 familias. Zbot mantuvo su posición como el malware número más utilizado  por los ciberdelincuentes financieros, representando una quinta parte de todos los ataques. SpyEye dio un salto notable del octavo al segundo puesto de la lista, pasando del 3,4% en 2020 al 12,2% en 2021. Gozi y Nuerevt quedaron fuera del TOP 10. El primero representó una quinta parte del total de ataques de malware financiero en 2018. Cridex y Nymaim los reemplazaron.

Geografía de los usuarios atacados

Para este informe, calculamos el porcentaje de usuarios de Kaspersky en cada país que se enfrentaron una amenaza, comparado con el número total de usuarios de Kaspersky en el país para determinar el riesgo de infección de las computadoras en diferentes países del mundo. Tenga en cuenta que en informes anteriores utilizamos una metodología diferente. Por esta razón, los números para el año 2020 en esta sección también serán diferentes.

El TOP 20 de países con la mayor proporción de usuarios atacados se presentan en la siguiente tabla. Más de la mitad de todos los intentos de infección ocurrieron en estos 20 países.

País* Porcentaje de usuarios atacados
Turkmenistán 8,3%
Afganistán 6,4%
Tayikistán 6,4%
Uzbekistán 5,3%
Yemen 3,1%
Paraguay 2,6%
Sudán 2,4%
Kazajistán 2,1%
Siria 2,1%
Zimbabue 2%
Lituania 1,8%
China 1,7%
Venezuela 1,7%
Costa Rica 1,6%
Pakistán 1,5%
Kirguistán 1,5%
Irán 1,4%
Bielorrusia 1,4%
Camerún 1,3%
Egipto 1,2%

*Los países con menos de 10 000 usuarios de Kaspersky están excluidos de estas estadísticas.

Turkmenistán (8,3%) fue el país más atacado por malware bancario para PC. Afganistán (6,4%) y Tayikistán (6,4%) comparten el segundo y tercer lugar. Uzbekistán (5,3%), que fue líder en 2020, ahora ocupa el cuarto lugar, al haber perdido 3,5 puntos porcentuales, y Yemen (3,1%) subió a la quinta posición.

Las participaciones de Paraguay (2,6%) y Sudán (2,4%) crecieron un poco, mientras que Kazajstán (2,1%) y Siria (2,1%) perdieron alrededor de 1 punto porcentual y compartieron el octavo y noveno lugar. Zimbabue (2%) completa el TOP 10, y Lituania (1,8%) suma 1 punto porcentual y asciende hasta la undécima posición.

Tipos de usuarios atacados

Nuestra investigación ha confirmado nuestra hipótesis de que el malware financiero se está orientando cada vez más al sector corporativo en lugar de centrarse en el consumidor. Entre 2020 y 2021, la participación de usuarios corporativos entre los objetivos de malware bancario aumentó en casi 2 puntos porcentuales, mientras que entre 2018 y 2021 aumentó 13,7 puntos porcentuales. Sin embargo, en los últimos años, el crecimiento de la participación de usuarios corporativos es notablemente más lento que en los años previos a la pandemia, y los ataques contra los consumidores aún superan las amenazas corporativas: los primeros representaron el 62,2% de los ataques de malware financiero en 2021 y los segundos, el 37,8%.

Distribución de ataques de malware para PC por tipo (corporativos frente a consumidores), 2020-2021 (descargar)

Atribuimos esto al cambio continuo hacia el modo de trabajo remoto e híbrido. Aunque la pandemia vio subir y bajar la cantidad de restricciones, muchas empresas decidieron no volver al habitual modo de trabajo de oficina. Al mismo tiempo, en algunas organizaciones, los empleados tuvieron que recurrir, para fines laborales, al uso de dispositivos domésticos protegidos por soluciones para consumidores. Si estos usuarios reciben un mensaje malicioso tanto por correo electrónico personal como corporativo, la detección considerará que tenía como blanco al consumidor. Eso significa que los ciberdelincuentes pueden estar aún más interesados en los usuarios corporativos de lo que muestran nuestras estadísticas.

Malware bancario móvil

Los expertos de Kaspersky han estado analizando el malware bancario para Android durante años y han observado una interesante tendencia a la baja.

En 2019, el número de usuarios de Android atacados con malware bancario se redujo de 1,8 millones en 2018 a poco más de 675 000. Luego, en 2020, la cifra se redujo un 55% adicional, a 294 158. Este año vimos una caída similar de casi 50%, lo que hace que el número total de usuarios de Android atacados con malware bancario en 2021 sea de 147 316.

Número de usuarios de Android atacados por malware bancario por mes, 2021 (descargar)

Para comprender estas tendencias, evaluamos el impacto y los cambios del malware móvil más frecuente.

En 2021, Agent sustituyó a Asacub como el malware móvil número uno, que representó el 26,9% de los ataques. Asacub (18,8%) cayó de su puesto número uno en 2019 y 2020 al tercero en 2021, cayendo 6,8% puntos porcentuales desde 2020. Svpeng (21,4%), que busca obtener derechos de administrador en los dispositivos infectados, aumentó casi nueve puntos porcentuales entre 2020 y 2021, recuperando así su posición en el TOP 3 y superando a Asacub.

En 2020, Rotexy (1,6%), que tiene capacidades tanto de troyano bancario como de ransomware bloqueador, fue el tercer malware bancario para Android más común, con una participación del 17,9%. Sin embargo, en 2021, Rotexy cayó 16,3 puntos porcentuales hasta el décimo lugar.

TOP 10 familias de malware bancario para Android, 2021 (descargar)

Geografía de los usuarios atacados

TOP 10 países y regiones por porcentaje de usuarios de Android atacados por malware bancario en 2020.

País/región Proporción de usuarios*
Japón 2,83%
Taiwán 0,87%
España 0,77%
Italia 0,71%
Turquía 0,60%
Corea 0,34%
Federación de Rusia 0,25%
Tayikistán 0,21%
Polonia 0,17%
Australia 0,15%

* Número de usuarios que encuentran malware bancario móvil, porcentaje del número total de usuarios de las soluciones móviles de Kaspersky en el país o la región

TOP 10 de países y regiones por porcentaje de usuarios de Android atacados por malware bancario 2021

País/región Proporción de usuarios*
Japón 2,18%
España 1,55%
Turquía 0,71%
Francia 0,57%
Australia 0,48%
Alemania 0,46%
Noruega 0,31%
Italia 0,29%
Croacia 0,28%
Austria 0,28%

* Número de usuarios que encuentran malware bancario móvil, porcentaje del número total de usuarios de las soluciones móviles de Kaspersky en el país o la región

Es curioso que Japón (2,18%), que no entró al TOP 10 en 2019, haya vuelto a ser el país número uno en 2021 después de ascender a la primera posición en 2020. Rusia pasó de estar en la primera posición en 2019, a la séptima en 2020, a abandonar el TOP 10 de 2021. Taiwán, la región número dos en 2020, tampoco entró al TOP 10 en 2021. Corea, Tayikistán y Polonia también perdieron sus posiciones. Estos países y regiones fueron reemplazados por cinco recién llegados: Francia (0,57%), Alemania (0,46%), Noruega (0,31%), Croacia (0,28%) y Austria (0,28%).

Conclusiones

2021 ha mostrado una vez más una disminución en la cantidad de usuarios afectados por malware para dispositivos móviles y PC. Esto parece tranquilizador, aunque los riesgos de infección están lejos de desaparecer. Además, hemos observado otro pequeño aumento en la proporción de ataques de malware contra usuarios corporativos frente a los consumidores. La tendencia emergente duradera de 2020 de troyanos bancarios dirigidos a usuarios corporativos ha continuado aún más; esto es preocupante, especialmente si se tienen en cuenta los usuarios que trabajan desde dispositivos personales.

Nuestra investigación también encuentra que el mayor enfoque de los estafadores de phishing en las tiendas electrónicas en lugar de los bancos, que comenzó en 2020, llegó para quedarse por el momento a medida que persisten los efectos de la pandemia en el comportamiento del consumidor. Estos efectos incluyen un aumento de las compras en línea sobre las tiendas tradicionales, un resultado que muchos economistas predicen que durará más que la pandemia. Los usuarios de criptomonedas también deben estar atentos, ya que mientras la tasa de Bitcoin se mantenga alta, serán muy atractivas para los ciberdelincuentes.

Para protegerse contra las amenazas financieras, Kaspersky recomienda a los usuarios:

  • Instalar sólo aplicaciones obtenidas de fuentes confiables.
  • No aprobar los derechos y permisos solicitados por las aplicaciones sin antes asegurarse de que coincidan con el conjunto de características de la aplicación.
  • No abrir nunca enlaces o documentos incluidos en mensajes inesperados y de apariencia sospechosa.
  • Instalar una solución de seguridad confiable, como Kaspersky Security Cloud , que protege al usuario y a su infraestructura digital contra una amplia gama de ciberamenazas financieras.

Para proteger su negocio del malware financiero, los expertos en seguridad de Kaspersky recomiendan:

  • Brindar capacitación de concientización sobre seguridad cibernética, especialmente a los empleados responsables de la contabilidad, que incluya instrucciones sobre cómo detectar páginas de phishing.
  • Mejorar la alfabetización digital del personal.
  • Habilitar la Directiva de denegación predeterminada para perfiles de usuario críticos, particularmente en los de departamentos financieros, para garantizar que sólo puedan acceder a páginas web legítimas.
  • Instalar las últimas actualizaciones y parches para todo el software que utilice.

Ciberamenazas financieras en 2021

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada