Autores
El beneficio económico sigue siendo el mayor incentivo de los ciberdelincuentes. Este último año, hemos visto numerosos avances en este ámbito, desde nuevos planes de ataque dirigidos a sistemas de pagos sin contacto hasta la aparición de múltiples grupos de ransomware que acechan a las empresas. Sin embargo, las amenazas financieras tradicionales, como el malware bancario y el phishing financiero, siguen representando una gran parte de estos ciberataques motivados por el lucro.
En 2022, asistimos a una importante actualización de la célebre red de bots Emotet, así como al lanzamiento de campañas masivas realizado por sus operadores a lo largo del año. Por ejemplo, en abril de 2022 las campañas de spam malicioso dirigidas a organizaciones se multiplicaron por 10 y propagaron los programas maliciosos Qbot y Emotet. También asistimos a la aparición de nuevos troyanos bancarios que roban credenciales bancarias, y a una mayor actividad de algunos troyanos ya conocidos, como Dtrack, Zbot y Qbot.
La buena noticia es que, a pesar de estos continuos avances, hemos sido testigos de una disminución constante del número de ataques de troyanos bancarios. Las soluciones de seguridad integradas en los sistemas operativos, la autenticación de dos factores y otras medidas de verificación han contribuido a reducir el número de usuarios vulnerables. Además, en muchos mercados la banca móvil ha ido desplazando a la banca en línea, con la aparición de aplicaciones bancarias cada vez más cómodas y seguras.
Mientras tanto, las criptomonedas se han convertido en un objetivo destacado para los ciberdelincuentes en su afán de lucro. La cantidad de phishing relacionado con criptodivisas creció notablemente en 2022, y los estafadores siguen engañando a los usuarios con un sinfín de nuevas monedas, NFT y otros proyectos DeFi. Los fondos perdidos a través de criptomonedas son difíciles de rastrear e imposibles de recuperar con la ayuda de un organismo regulador, como se hace con los bancos y la moneda fiduciaria, por lo que es probable que esta tendencia siga ganando adeptos.
Algunos actores de amenazas persistentes avanzadas (APT) también empezaron a aprovechar el mercado de criptomonedas. Anteriormente informamos sobre el grupo Lazarus, que desarrolló el ransomware VHD con fines lucrativos. Ahora vemos que los actores de APT también se han pasado a las criptomonedas. BlueNoroff desarrolló una elaborada campaña de phishing dirigida a startups y distribuyó malware para robar todas las criptomonedas de la cuenta vinculada al dispositivo. Se hicieron pasar por numerosos grupos de capital riesgo e inversores muy exitosos. La campaña NaiveCopy, otro ejemplo de amenaza avanzada, se dirigía a los inversores en acciones y criptomonedas de Corea del Sur. Y hay más espacio para un mayor desarrollo: las billeteras de hardware y los contratos inteligentes podrían ser un nuevo y jugoso objetivo para los atacantes.
En este informe analizamos el panorama de las ciberamenazas financieras en 2022. Es una continuación de nuestros anteriores informes anuales sobre amenazas financieras (2018, 2019, 2020, 2021), que ofrecen una visión general de las últimas tendencias en todo el panorama de las amenazas. Aquí analizamos las amenazas de phishing con las que se suelen topar los usuarios y empresas, así como la dinámica de diversos programas maliciosos financieros basados en Windows y Android.
Metodología
Para este informe, hemos realizado un análisis exhaustivo de las ciberamenazas financieras en 2022. Nos centramos en el software malicioso dirigido a instituciones de servicios financieros, como banca en línea, sistemas de pago, servicios de dinero electrónico, tiendas en línea y servicios de criptomonedas. Esta categoría de malware financiero también incluye los que buscan el acceso no autorizado a las infraestructuras informáticas de las organizaciones financieras.
Además de los programas maliciosos financieros, también examinamos las actividades de phishing. Para ello estudiamos el diseño y la distribución de páginas web y correos electrónicos de temática financiera que suplantan la identidad de sitios y organizaciones legítimos y conocidos con la intención de engañar a las víctimas potenciales para que revelen su información privada.
Para conocer mejor el panorama de las amenazas financieras, analizamos los datos sobre actividades maliciosas en los dispositivos de los usuarios de productos de seguridad de Kaspersky. Los usuarios de estos productos pusieron voluntariamente sus datos a nuestra disposición a través de Kaspersky Security Network. Todos los datos recogidos por Kaspersky Security Network son de carácter anónimo.
Comparamos los datos de 2022 con los de 2021 para identificar las tendencias interanuales en el desarrollo de programas maliciosos. Asimismo, incluimos referencias ocasionales a años anteriores para aportar más información sobre las tendencias evolutivas del malware financiero.
Principales hallazgos
Phishing
- El phishing financiero representó el 36,3% de todos los ataques de phishing en 2022.
- Las marcas de tiendas electrónicas fueron el señuelo más popular, con un 15,56% de los intentos de visitar sitios de phishing.
- PayPal fue el objetivo casi exclusivo de los phishers en la categoría de sistemas de pago electrónico, con un 84% de las páginas de phishing dirigidas a la plataforma.
- El phishing de criptodivisas experimentó un crecimiento interanual del 40% en 2022, con 5 040 520 detecciones frente a las 3 596 437 de 2021.
Malware para PC
- El número de usuarios afectados por malware financiero siguió disminuyendo en 2022, con un descenso del 14% respecto a 2021.
- Ramnit y Zbot fueron las familias de malware más frecuentes, con más del 50% de los usuarios afectados.
- Los consumidores siguieron siendo el principal objetivo de las ciberamenazas financieras, con un 61,8% de los ataques.
Malware móvil
- El número de usuarios de Android atacados por el malware bancario disminuyó alrededor de un 55% en 2022 en comparación con el año anterior.
- Bian superó a Agent como la familia de malware móvil más activa en 2022, con un 22% de los ataques frente al 20% de Agent.
- La distribución geográfica de usuarios afectados por malware bancario para Android en 2022 muestra que España tuvo el mayor porcentaje de usuarios atacados con un 1,96%, seguido de Arabia Saudí con un 1,11% y Australia con un 1,09%.
Suplantación de identidad financiera
El phishing sigue siendo una de las formas más extendidas de ciberdelincuencia gracias a su bajo umbral de entrada y a su eficacia. Como ya comentamos en anteriores ocasiones, los ciberdelincuentes pueden lanzar campañas de phishing con un esfuerzo mínimo comprando kits de phishing listos para usar.
El phishing suele basarse en un esquema clásico: en primer lugar, se crea un sitio web y, a continuación, se elaboran correos electrónicos o notificaciones que son copias de organizaciones reales e incitan a los usuarios a seguir un enlace al sitio, compartir su información personal o de pago, o descargar un programa disfrazado de malware. Los phishers fingen ser todo tipo de organizaciones, como bancos, servicios gubernamentales, comercio minorista y de ocio, siempre que el servicio tenga una sólida base de usuarios.
En particular, los servicios financieros son de gran interés para los phishers debido a la conexión directa con el dinero y los datos de pago. En 2022, el 36,3% de todos los ataques de phishing detectados por las tecnologías antiphishing de Kaspersky estaban relacionados con el phishing financiero.
Distribución de los casos de phishing financiero por tipo, 2022 (descargar)
En este informe, el phishing financiero incluye el phishing específico para bancos, pero también el de tiendas electrónicas y sistemas de pago.
El phishing de sistemas de pago se refiere a páginas de phishing que se hacen pasar por marcas de pago conocidas, como PayPal, MasterCard, Visa y American Express. Por tiendas electrónicas se entienden las tiendas en línea y los sitios de subastas como Amazon, Aliexpress, App Store y eBay.
En 2022, las marcas de tiendas electrónicas fueron el tipo de señuelo más utilizado por los phishers. El 15,56 % de los intentos de visitar sitios de phishing bloqueados por Kaspersky en 2022 estaban relacionados con tiendas electrónicas. Si observamos la distribución dentro del phishing financiero, las tiendas electrónicas representan el 42% de los casos de phishing financiero. A las tiendas electrónicas les siguen los sistemas de pago (10,39%) y los bancos (10,39%). Las compras en línea siguen creciendo en todo el mundo y, en consecuencia, aumenta el número de marcas que son imitadas por los phishers, con la aparición periódica de nuevas estratagemas.
Marcas de tiendas electrónicas explotadas con mayor frecuencia en esquemas de phishing financiero, 2022 (descargar)
En 2022, Apple sigue siendo la marca más explotada por los estafadores, con casi el 60% de los ataques. El atractivo de ganar el último modelo de un nuevo dispositivo ha resultado irresistible para muchos usuarios, sobre todo durante la actual crisis mundial, porque su precio es cada vez más alto. No sólo hemos visto un repunte de este tipo de estafas durante los principales eventos de Apple, sino que además los estafadores utilizan con frecuencia a Apple para atraer a las víctimas ofreciendo, por ejemplo, iPhones recién lanzados como premio por predecir los resultados de los partidos durante grandes acontecimientos como la Copa Mundial de la FIFA. Mientras tanto, Amazon se mantuvo en segundo lugar con el 14,81% de los ataques.
En el ámbito de los sistemas de pago electrónico, PayPal ha sido tradicionalmente un popular objetivo explotado por los estafadores. Sin embargo, datos recientes indican que este año no sólo es el objetivo principal sino casi exclusivo de los phishers, con un asombroso 84,23% de las páginas de phishing para sistemas de pago electrónico dirigidas a PayPal. Como resultado, las acciones de otros sistemas de pago se han desplomado, con MasterCard International bajando al 3,75%, Visa Inc. al 3,10% y American Express al 2,02% en 2022.
Marcas de sistemas de pago explotadas con mayor frecuencia en esquemas de phishing financiero, 2022 (descargar)
Ejemplo de página de phishing idéntica a la página de inicio de sesión de PayPal
Criptophishing
En 2022, el phishing de criptomonedas aumentó lo suficiente como para formar una categoría aparte. Aunque el número total de intentos de visitar este tipo de sitios representa solo una fracción (0,87%) de todo el phishing, esta categoría de phishing tuvo un crecimiento interanual del 40%, con 5 040 520 detecciones en 2022 frente a 3 596 437 en 2021. Este auge de la criptofalsificación puede explicarse en parte por los estragos que se produjeron en el mercado de criptomonedas el año pasado. Dicho esto, hasta ahora no está claro si la tendencia continuará, y esto dependerá en gran medida de la confianza que los usuarios depositen en las criptomonedas.
Ejemplo de página de phishing que ofrece criptomonedas
Las criptomonedas explotan el tema de las criptomonedas para engañar a sus víctimas y robarles su dinero, a menudo mediante promesas de altos rendimientos de las inversiones. Entre los tipos más comunes se encuentran las estafas Ponzi, las estafas ICO, las estafas de phishing y las estafas de criptobilleteras falsas.
Ejemplo de página de phishing en la que se solicitan datos de criptobilleteras
Malware bancario
En esta sección se analiza el malware bancario utilizado para robar credenciales de inicio de sesión para banca en línea o sistemas de pago, así como para capturar contraseñas de un solo uso para la autenticación de dos factores.
Nuestro análisis de las ciberamenazas financieras en 2022 reveló que el número de usuarios afectados por malware financiero siguió disminuyendo. Las cifras muestran un descenso de 405 985 en 2021 a 350 808 en 2022, lo que supone una caída del 14%. Este descenso siguió la tendencia observada en los años anteriores, con una caída del 35% en 2021, del 20% en 2020 y de casi el 13% en 2019. El malware financiero para PC está en declive debido a los retos y costes asociados al mantenimiento y desarrollo de una botnet capaz de perpetrar ataques contra los usuarios. Para que un ataque tenga éxito, el troyano debe esperar a que el usuario inicie sesión manualmente en el sitio web de su banco, algo cada vez menos frecuente con el aumento de la popularidad de las aplicaciones de banca móvil. Además, las últimas versiones de los sistemas operativos vienen con sistemas de seguridad incorporados, y su presencia prolongada en el sistema aumenta la probabilidad de detección del malware. Esto también podría indicar un giro hacia los ataques selectivos avanzados, ya que los ciberdelincuentes empiezan a dar prioridad a las grandes empresas.
Además, los ciberdelincuentes están adaptando sus tácticas para explotar el cambio hacia la banca móvil. A medida que los usuarios se pasan cada vez más a la banca telefónica, los atacantes desarrollan nuevas técnicas para comprometer los dispositivos móviles y robar información confidencial.
Cambio dinámico en el número de usuarios únicos atacados por malware bancario en 2021 – 2022 (descargar)
Principales actores del malware bancario
Nuestro análisis de 2022 de las ciberamenazas financieras reveló la presencia de varias familias de programas maliciosos bancarios con distintos ciclos de vida. Ramnit resultó ser la familia de malware más extendida, con una cuota del 34,4%, seguida de Zbot, con un 16,2%. Lo interesante es que el análisis pone de relieve que más del 50% de los usuarios afectados fueron objetivo únicamente de estas dos familias. La actividad de Ramnit aumentó sustancialmente en comparación con el año anterior, cuando su participación fue sólo del 3,4%. Este gusano malicioso se propaga a través de correos electrónicos de spam con enlaces a sitios web infectados, y roba información financiera. Emotet, al que Europol se refirió como el malware más peligroso del mundo, regresó al Top 3 de familias de malware más activas después de que las agencias policiales lo cerraran en enero de 2021.
El ciclo de vida de Emotet es una muestra vívida de cómo las familias de malware siguen evolucionando y ampliando sus capacidades para infiltrarse y comprometer los sistemas financieros.
Las 10 principales familias de malware bancario para PC
| Nombre | Veredictos | %* |
| Ramnit/Nimnul | Troyano-Banker.Win32.Ramnit | 34,4 |
| Zbot/Zeus | Troyano-Banker.Win32.Zbot | 16,2 |
| Emotet | Trojan-Banker.Win32.Emotet | 6,4 |
| CliptoShuffler | Trojan-Banker.Win32.CliptoShuffler | 6,2 |
| IcedID | Troyano-Banker.Win32.IcedID | 4,1 |
| Arlequín/Trickbot | Trojan-Banker.Win32.Trickster | 4,0 |
| SpyEye | Troyano-Spy.Win32.SpyEye | 3,4 |
| RTM | Troyano-Banker.Win32.RTM | 2,5 |
| Gozi | Troyano-Banker.Win32.Gozi | 2,4 |
| BitStealer | Troyano-Banker.MSIL.BitStealer | 1,6 |
*Usuarios únicos que se toparon con esta familia de malware, como porcentaje del total de usuarios atacados por malware financiero.
Distribución geográfica de los usuarios atacados
En el informe de este año, hemos calculado el porcentaje de usuarios de Kaspersky en cada país que se enfrentó a una ciberamenaza financiera en relación al total de usuarios que fueron atacados por malware financiero. Este enfoque nos ayuda a identificar qué países tienen mayor riesgo de infección informática por malware financiero.
El informe de 2022 muestra la distribución de los ataques de malware financiero en los distintos países. Los 20 primeros países de la siguiente lista representan más de la mitad de todos los intentos de infección.
TOP 20 de países y territorios, por porcentaje de usuarios atacados
| País o territorio | %** |
| Turkmenistán | 6,6 |
| Afganistán | 6,5 |
| Tayikistán | 4,9 |
| China | 3,3 |
| Uzbekistán | 3,3 |
| Yemen | 3,3 |
| Sudán | 2,9 |
| Mauritania | 2,8 |
| Egipto | 2,5 |
| Azerbaiyán | 2,5 |
| Venezuela | 2,5 |
| Paraguay | 2,5 |
| Suiza | 2,4 |
| Siria | 2,4 |
| Libia | 2,3 |
| Argelia | 2,2 |
| Iraq | 2,0 |
| Indonesia | 1,9 |
| Bangladesh | 1,8 |
| Pakistán | 1,8 |
* Se excluyen los países y territorios con relativamente pocos usuarios de productos de Kaspersky (menos de 10 000).
** Usuarios únicos cuyas computadoras fueron blanco de malware financiero, como porcentaje del total de usuarios únicos de productos Kaspersky en el país.
Los datos muestran que Turkmenistán tiene la mayor cuota de usuarios atacados, con un 6,6%. Le siguen Afganistán y Tayikistán, con un 6,5% y un 4,9% respectivamente.
Tipos de usuarios atacados
Las cifras de 2022 muestran que la distribución de las ciberamenazas financieras se mantuvo más o menos estable. Los consumidores (61,8%) siguen siendo el principal objetivo y los usuarios corporativos (38,2%) reunen porcentaje menor de los ataques. El aumento de 2022 es relativamente pequeño, inferior al 1%, y no constituye un cambio notable en la distribución global de los ataques.
Distribución de los ataques de malware por tipo (empresas frente a consumidores), 2021 – 2022 (descargar)
Esto puede atribuirse a que el mundo se ha acostumbrado al nuevo estilo de trabajo pospandémico, y muchas empresas siguen funcionando con modos de trabajo remoto o híbrido. La tendencia a trabajar desde casa o a distancia ya no es nueva, y muchas empresas se han adaptado a ella. Como resultado, también han aprendido a hacer frente a posibles amenazas y han implantado medidas para garantizar la seguridad de los dispositivos de sus empleados y datos. Ahora es probable que los empleados utilicen los mismos dispositivos y medidas de seguridad para fines personales y laborales, lo que hace más difícil para los ciberdelincuentes diferenciar entre objetivos de consumo y empresariales.
Malware bancario para dispositivos móviles
Llevamos al menos cuatro años observando una tendencia constante y pronunciada a la baja en el número de usuarios de Android afectados por malware bancario. En 2022, el número de usuarios de Android atacados con malware bancario fue de 57 219, es decir, más de 2,5 veces menos que las cifras registradas el año anterior, lo que representa un descenso de alrededor del 55%.
Esta tendencia continúa la de años anteriores, ya que el número de usuarios de Android atacados cayó un 55% en 2020 y casi un 50% en 2021, lo que se tradujo en un total de 147 316 usuarios afectados en 2021.
Número de usuarios de Android atacados por malware bancario por mes, 2020 – 2022 (descargar)
A pesar del descenso constante del número de usuarios de Android afectados por malware bancario, es importante que los usuarios no bajen la guardia, ya que los ciberdelincuentes siguen perfeccionando su malware y encontrando nuevas formas de llevar a cabo los ataques. En 2022, identificamos más de 200 000 nuevos instaladores de troyanos bancarios, el doble que el año anterior.
Si comparamos las familias de malware móvil más activas de 2021 con las de 2022, observamos algunos cambios notables. En 2021, Agent fue el malware móvil más prevalente, representando el 26,9 % de los ataques. Sin embargo, en 2022, Bian superó a Agent como la familia de malware móvil más activa, con un 24,25% de ataques frente al 21,57% de Agent.
En cuanto a las demás familias de malware de la lista, Anubis (11,24%) y Faketoken (10,53%) mantuvieron sus posiciones en el TOP 5, respectivamente. Asacub también se mantuvo en la lista de los 5 primeros, con casi el 10% de los ataques, pero bajó al quinto puesto desde el tercero que ocupaba en 2021.
TOP 10 familias de malware bancario para Android
| Nombre | Veredictos | %* |
| Bian | Troyano-Banker.AndroidOS.Bian | 24,25 |
| Agente | Trojan-Banker.AndroidOS.Agent | 21,57 |
| Anubis | Trojan-Banker.AndroidOS.Anubis | 11,24 |
| Faketoken | Trojan-Banker.AndroidOS.Faketoken | 10,53 |
| Asacub | Trojan-Banker.AndroidOS.Asacub | 9,91 |
| Svpeng | Troyano-Banker.AndroidOS.Svpeng | 6,08 |
| Cebruser | Trojan-Banker.AndroidOS.Cebruser | 5,23 |
| Gustuff | Troyano-Banker.AndroidOS.Gustuff | 3,13 |
| Bray | Troyano-Banker.AndroidOS.Bray | 2,27 |
| Sova | Trojan-Banker.AndroidOS.Sova | 2,14 |
*Usuarios únicos que se toparon con esta familia de malware, como porcentaje del total de usuarios atacados por malware financiero.
Svpeng, que fue la tercera familia de malware más relevante en 2021, con un 21,4% de los ataques, cayó al sexto lugar en 2022, con un 6,08% de ataques. Mientras tanto, Cebruser, Gustuff, Bray y Sova entraron en la lista.
Distribución geográfica de los usuarios atacados
La distribución geográfica de los usuarios afectados por el malware bancario para Android en 2021 muestra algunas diferencias entre las dos listas de los 10 principales países y regiones. En la primera lista, Japón tenía el mayor porcentaje de usuarios objetivo con un 2,18%, seguido de España con un 1,55%, mientras que, en la segunda lista, España tenía el mayor porcentaje con un 1,96%, seguida de Arabia Saudí con un 1,11%.
Australia aparece en ambas listas, con un 0,48% en la primera y un 1,09% en la segunda. Turquía también aparece en en ambas listas, con un 0,71% en la primera y un 0,99% en la segunda. Italia obtuvo un 0,29% en la primera lista y un 0,17% en la segunda, mientras que Japón obtuvo un 0,30% en la segunda.
TOP 10 de países y territorios, 2021
| País o territorio | %** |
| Japón | 2,18 |
| España | 1,55 |
| Turquía | 0,71 |
| Francia | 0,57 |
| Australia | 0,48 |
| Alemania | 0,46 |
| Noruega | 0,31 |
| Italia | 0,29 |
| Croacia | 0,28 |
| Austria | 0,28 |
* Se han excluido de la clasificación los países y territorios con relativamente pocos usuarios de soluciones de seguridad de Kaspersky para dispositivos móviles (menos de 25 000).
** Usuarios únicos atacados por troyanos bancarios móviles como porcentaje de todos los usuarios de soluciones de seguridad de Kaspersky para dispositivos móviles en el país.
TOP 10 de países y territorios, 2022
| País o territorio | %** |
| España | 1,96 |
| Arabia Saudí | 1,11 |
| Australia | 1,09 |
| Turquía | 0,99 |
| Suiza | 0,48 |
| Japón | 0,30 |
| Colombia | 0,19 |
| Italia | 0,17 |
| India | 0,16 |
| Corea del Sur | 0,16 |
* Se han excluido de la clasificación los países y territorios con relativamente pocos usuarios de soluciones de seguridad de Kaspersky para dispositivos móviles (menos de 25 000).
** Usuarios únicos atacados por troyanos bancarios móviles como porcentaje de todos los usuarios de soluciones de seguridad de Kaspersky para dispositivos móviles en el país.
En general, las dos listas muestran que el malware bancario sigue siendo una amenaza global, que afecta a usuarios de distintos países y regiones.
Conclusión
El año 2022 demostró que los ataques de malware bancario siguen disminuyendo, tanto para PC como para móviles. Aun así, el número de este tipo de ataques sigue siendo significativo y los usuarios, como siempre, deben estar en alerta. Al mismo tiempo, los ciberdelincuentes se están centrando en las criptomonedas, ya que estos ataques son más difíciles de rastrear. Con la aparición de nuevos sistemas de pago, es seguro que veremos nuevos ataques en el futuro y, potencialmente, aún más ataques contra las criptomonedas.
Además, el phishing financiero sigue siendo una de las principales categorías de phishing, ya que los estafadores continúan a la caza de datos bancarios y otros datos confidenciales, aprovechándose de marcas de confianza. No es probable que esta actividad decaiga, por lo que seguiremos asistiendo a la aparición periódica de nuevos planes.
Para protegerse contra las amenazas financieras, Kaspersky recomienda:
- Instalar sólo aplicaciones obtenidas de fuentes fiables
- Abstenerse de aprobar los derechos o permisos solicitados por las aplicaciones sin antes asegurarse de que corresponden al conjunto de funciones de la aplicación.
- No abrir nunca enlaces o documentos incluidos en mensajes inesperados o sospechosos.
- Utilizar una solución de seguridad fiable, como Kaspersky Premium, que le proteja a usted y a su infraestructura digital frente a una amplia gama de ciberamenazas financieras.
Para proteger su empresa del malware financiero, los expertos en seguridad de Kaspersky recomiendan:
- Impartir formación de concienciación sobre ciberseguridad, especialmente a los empleados responsables de la contabilidad, que incluya instrucciones sobre cómo detectar páginas de phishing.
- Mejorar la alfabetización digital del personal
- Activar una política de denegación por defecto para los perfiles de usuarios de importancia crítica, en particular los de los departamentos financieros, que garantice que sólo se pueda acceder a los recursos web legítimos.
- Instalar las últimas actualizaciones y parches para todo el software que se esté utilizando.
Autores
De los mismos autores
En la misma categoría
Ciberamenazas financieras en 2022