Publicaciones

Continúa la guerra del streaming: ¿Qué pasa con las ciberamenazas?

El anterior fue un gran año para el negocio del entretenimiento online. Obligada por las restricciones de confinamiento provocadas por la pandemia y el trabajo desde casa, la gente pasó más tiempo en sus hogares buscando reemplazar sus fuentes de entretenimiento habituales. Mientras que los teatros y los estadios deportivos se vieron afectados por la falta de eventos en directo, otros negocios, como los servicios de streaming en línea, se beneficiaron de que los consumidores pasaran más tiempo en casa. Es más, el tiempo dedicado al streaming aumentó en casi un 75% en 2020. En 2021, la demanda de video en streaming se mantiene fuerte y el mercado mundial de streaming de video sigue creciendo, aunque a pasos más lentos que en 2020, y se pronostica que esta tendencia se mantendrá en los próximos años.

Las fuentes de entretenimiento siempre han sido una lucrativa tentación para los estafadores y timadores. Con millones de nuevos usuarios en las plataformas de streaming, los ciberatacantes reconocieron esta mayor demanda del mercado y tratan de aprovecharla mediante la distribución de estafas de phishing en streaming y la propagación de malware bajo la apariencia de los programas favoritos de los usuarios.

Esta investigación es la continuación de nuestros informes sobre las amenazas de programas de TV y streaming (2020 y 2019) y brinda una visión general de las últimas tendencias y los principales eventos de las amenazas relacionadas con el entretenimiento. El estudio aborda las amenazas comunes de phishing y malware con que se enfrentan los usuarios que buscan formas alternativas de ver contenidos en streaming, e incluye un análisis detallado de los programas más populares que se convierten en señuelo para los usuarios desatentos. Además, analizamos los servicios de la Darknet que ofrecen acceso a los mismos contenidos a un precio inferior mediante la venta de credenciales de usuarios de streaming.

Metodología

En esta investigación, analizamos varios tipos de amenazas: malware y software no deseado asociados a las plataformas de streaming y de sus contenidos, así como páginas de phishing y sitios web falsos que se hacen pasar como los mayores servicios de streaming del mundo.

Para ello, analizamos las estadísticas de amenazas relacionadas con el streaming de Kaspersky Security Network (KSN), un sistema de procesamiento de datos anónimos sobre ciberamenazas, compartidos por los usuarios de Kaspersky que han dado su consentimiento. En particular, analizamos el número de usuarios (de dispositivos móviles o PC) que se toparon con diversas amenazas relacionadas con el streaming desde enero de 2020 hasta junio de 2021.

Asimismo, analizamos los mensajes publicados en la Darkweb que ofrecen acceso a las plataformas de streaming de video para definir el estado actual del mercado del “dark streaming”: cuánto cuestan las cuentas, quién las compra y las posibles consecuencias.

En este informe, analizamos los datos relacionados con cinco de las principales plataformas de streaming del mundo:

  • Netflix
  • Hulu
  • Amazon Prime Video
  • Disney +
  • Apple TV Plus

Malware y riskware en lugar de streaming

Teniendo en cuenta las amenazas relacionadas con el streaming, es fundamental hablar del malware y del software no deseado. Al buscar fuentes alternativas para descargar una aplicación de streaming o un episodio de una serie, los usuarios suelen descubrir varios tipos de malware, como troyanos, programas espía y puertas traseras, además de aplicaciones maliciosas como los programas publicitarios maliciosos, o adware.

Buscamos en KSN señales de programas maliciosos y no deseados que tuvieran los nombres de las cinco plataformas de streaming mencionadas arriba, que fueran capaces de obtener credenciales de inicio de sesión o suscripción, o bien que mostraran gratis el contenido de la plataforma o descargaran una aplicación de streaming.

Descubrimos que, desde el 1 de enero de 2020 hasta el 30 de junio de 2021, a casi 19 000 usuarios únicos se les impidió al menos una vez descargar malware y aplicaciones no deseadas que utilizaban como cebo las plataformas de streaming.

Netflix encabeza la lista no sólo como la plataforma más popular por el número de suscripciones, sino también como el servicio de streaming más popular utilizado como señuelo por los ciberdelincuentes. Es más, el 89,93% de los usuarios afectados encontraron malware o software no deseado mientras buscaban Netflix y contenidos relacionados. Amazon Prime ocupa el segundo lugar en la lista con el 6,26% de los usuarios afectados. A pesar de que la última investigación mostró que ninguno de los usuarios había encontrado amenazas al intentar acceder al contenido de Apple TV +, durante el último año y medio los atacantes comenzaron a atacar a los usuarios de esta plataforma.

Distribución de malware y aplicaciones no deseadas por plataforma, del 1 de enero de 2020 al 30 de junio de 2021 (descargar)

En total, los productos de Kaspersky detectaron 93 095 intentos de infectar a 18 938 usuarios únicos con 8.650 amenazas diferentes desde el 1 de enero de 2020 hasta el 30 de junio de 2021. El pico de actividad maliciosa se registró en el primer semestre de 2020, con un 51,62% de detecciones de usuarios que encontraron malware y software no deseado. En el mismo periodo de 2021, el número de usuarios afectados se ha reducido a más de la mitad.

Porcentaje de usuarios que se toparon con programas maliciosos y no deseados que imitaban todas las plataformas analizadas, del 1 de enero de 2020 al 30 de junio de 2021 (descargar)

Este año, observamos un rápido descenso en los indicadores de todas las plataformas analizadas, excepto en Disney+. Durante los primeros 6 meses de 2021, el número de usuarios que se encontraron con malware que utilizaba esta plataforma como señuelo se multiplicó por cuatro en comparación con el mismo periodo de 2020.

En las cinco plataformas, el mayor número de usuarios afectados procede de la India (11,37%). Los usuarios se enfrentan con mayor frecuencia a los archivos maliciosos cuando intentan bajar descargadores de aplicaciones de streaming. Argelia y Estados Unidos cierran el TOP 3, con el 8,42% y el 7,41% respectivamente.

Los 10 países más afectados de enero de 2020 a julio de 2021 son los siguientes:

País Número de usuarios únicos*
India 11,37%
Argelia 8,42%
Estados Unidos 7,41%
Alemania 5,98%
Brasil 4,30%
España 2,87%
México 2,86%
Marruecos 2,77%
Francia 2,52%

*Porcentaje de usuarios afectados por malware relacionado con el streaming y el software no deseado en el país

También hemos estudiado la distribución geográfica de las amenazas para los usuarios de cada plataforma.

La siguiente tabla contiene la distribución geográfica de los usuarios que se toparon con malware y software no deseado que imita a Amazon Prime, Apple TV, Disney+, Hulu y Netflix, respecto al total de usuarios afectados, desde enero de 2020 hasta junio de 2021.

Plataforma País Proporción de usuarios*
Amazon Prime Estados Unidos 55,61%
India 9,03%
Alemania 8,78%
Apple TV Alemania 27,42%
Brasil 11,83%
Rusia y Vietnam 3,76%
Disney+ Italia 9,63%
Alemania 9,32%
India 8,39%
Hulu Estados Unidos 9,16%
Argelia 8,79%
Kenia 6,96%
Netflix India 11,84%
Argelia 9,31%
Alemania 5,36%

Porcentaje del total de usuarios únicos que se toparon con software malicioso y no deseado relacionado con la plataforma en cada país.

El mayor número de usuarios que encontraron malware y software no deseado relacionado con Amazon Prime pertenecía a Estados Unidos (55,61%) lo que puede deberse a que allí se encuentra la mayoría de los espectadores de Amazon Prime.

El mayor número de usuarios que encontraron diferentes tipos de malware y software no deseado relacionados con Apple TV está en Alemania (27,42%).

En cuanto a Disney+, en el TOP 3 se encuentran Italia (9,63%), Alemania (9,32) e India (8,39%) con porcentajes relativamente similares de usuarios afectados por programas maliciosos y no deseados asociados a este servicio de streaming.

Cuando se trata de malware y software no deseado que utiliza Hulu como señuelo, los ciberdelincuentes tienden a apuntar a usuarios de Estados Unidos (9,16%), Argelia (8,79%) y Kenia (6,96%).

En cuanto a Netflix, una de las plataformas más atacadas por los ciberdelincuentes, los usuarios que se encontraron con actividades maliciosas que explotaban el nombre de Netflix con mayor frecuencia, fueron los de India (11,84%), Argelia (9,31%) y Alemania (5,36%).

Amenazas en las falsas plataformas de streaming

Para obtener una imagen clara de cómo los ciberdelincuentes explotan los servicios de streaming más populares, extrajimos y analizamos las muestras distribuidas utilizando Netflix, Disney+, Hulu, Apple TV y Amazon Prime como señuelo para definir los principales tipos de amenazas distribuidas.

La distribución de las amenazas específicas encontradas por nuestros usuarios es la siguiente:

TOP 10 de tipos de amenazas disfrazadas bajo el nombre de Netflix, Disney+, Apple TV, Hulu y Amazon Prime encontradas por los usuarios de Kaspersky, del 1 de enero de 2020 al 30 de junio de 2021 (descargar)

Descubrimos que más de un tercio (33,12%) de las amenazas encontradas por nuestros usuarios eran troyanos. Los atacantes también utilizaron activamente tipos específicos de troyanos, como los troyanos espía (5,41%), los troyanos bancarios (4,68%), los troyanos descargadores (2,92%) y los PSW (2,25%). A menudo estos troyanos están diseñados para espiar electrónicamente de una forma u otra las actividades del usuario: los PSW están diseñados para robar los inicios de sesión y las contraseñas de varios servicios y detectar cuando se utilizan esos servicios, mientras que los bancarios apuntan a los sitios web y aplicaciones bancarias y espían la actividad bancaria del usuario. Los troyanos descargadores no espían ni roban por sí mismos, pero son capaces de instalar otros programas maliciosos. La segunda amenaza más común encontrada fueron los archivos no deseados detectados con el veredicto “not-a-virus”, que incluyen descargadores no maliciosos (20,58%), RiskTools (5,78%) y adware (19,12%) que bombardean a los usuarios con anuncios y notificaciones no deseadas.

Programas populares utilizados como señuelo

Un análisis más detallado del panorama de las amenazas en streaming mostró que los ciberdelincuentes están utilizando activamente determinados programas y series como señuelo. Hicimos un análisis más profundo para determinar los tipos de contenido que los estafadores usan con mayor frecuencia.

Para garantizar la imparcialidad de nuestra investigación, es necesario imponer algunas restricciones al alcance de la misma. Hemos utilizado las calificaciones públicas de los programas de televisión más populares según las fuentes cinematográficas más prestigiosas del mundo: IMDB y Rotten Tomatoes. Tras analizar las listas de las series más populares de 2020 y 2021 (hasta ahora), hemos creado una lista de 30 programas de televisión disponibles para su emisión en los servicios de streaming más populares.

Series analizadas en esta investigación:

Better Call Saul
Bridgerton
Dark
Dota: Sangre de dragón
Élite
Emily en París
Euforia
Es un pecado
Loki
Mare of Easttown
La casa de papel
Yo nunca
Ozark
Peaky Blinders
Raised by wolves
Resident Alien
Rick y Morty
Sex Education
Sombra y hueso
Superman y Luisa Lane
Sweet Tooth
The Boys
The Crown
El Mandaroliano
Gámbito de reina
The Umbrella Academy
The Witcher
Unorthodox
WandaVision
Westworld

Los productos de Kaspersky detectaron 27 860 intentos de infectar a 7 051 usuarios con 6 157 amenazas diferentes que imitaban contenidos de Netflix, Hulu, Disney+, Apple TV, Amazon Prime y HBO Max.

La siguiente tabla contiene el TOP 10 de las series más populares (por la cantidad de detecciones) utilizadas como señuelo para propagar amenazas, del 1 de enero de 2020 al 30 de junio de 2021.

Nombre Número de intentos de infección*
El Mandaroliano 28,72%
La casa de papel 28,41%
Rick y Morty 9,69%
Peaky Blinders 9,25%
Westworld 7,17%
Sex Education 2,82%
Better Call Saul 2,47%
Ozark 2,01%
The Boys 1,64%
Euforia 1,58%

* Porcentaje del total de intentos de infección relacionados con la serie

Descubrimos que casi el 60% de los intentos de infección utilizaban sólo dos espectáculos como señuelo. El Mandaloriano (28,72%) y La casa de papel (28,41%), los mayores éxitos mundiales de los últimos años, son explotados activamente por los ciberdelincuentes para difundir su actividad maliciosa. De hecho, estas series son también los principales señuelos utilizados por los phishers.

Ejemplo de una página de phishing que ofrece transmitir La casa de papel

Phishing

Los ataques de phishing son una de las formas más extendidas de robar credenciales de cuentas. Como la mayoría de las películas se estrenan en línea, los estafadores se han adentrado en la esfera de los servicios de streaming. Al querer ser los primeros espectadores de un nuevo episodio de su programa favorito, los usuarios no suelen prestar atención a los recursos que visitan. Y esto es lo que aprovechan los estafadores para crear sitios web falsos de phishing.

Encontramos ejemplos de páginas de phishing para cada plataforma analizada: Netflix, Amazon Prime, Disney+, Apple TV y Hulu. En la mayoría de los casos, tienen un aspecto casi idéntico al diseño de la página web original: los colores, las fuentes y los diseños no revelan la falsificación.

Un ejemplo de página de phishing que imita la página de “Inicio de sesión” de Netflix

El primer objetivo de los estafadores son las credenciales de usuario. Descubrimos estafas de phishing que imitan las páginas de inicio de sesión de las plataformas analizadas como forma de capturar las credenciales. Al igual que cualquier página de inicio de sesión, la mayoría de ellas solicitan introducir el correo electrónico y la contraseña de una cuenta de streaming. Como resultado, las credenciales de los usuarios acaban en manos poco fiables. Después, los estafadores pueden utilizar esos datos con fines maliciosos (lanzar ataques de spam) y obtener acceso al correo electrónico de los usuarios o a otras cuentas en diversas fuentes, ya que muchos usan las mismas contraseñas para las plataformas de compras, las redes sociales, la banca en línea, etc. Y a menudo, los datos robados se ponen a la venta en la Dark Web.

Un ejemplo de página de phishing camuflada como página de inicio de sesión de Disney+

Otro tipo de páginas de phishing encontradas tienen una motivación financiera y suelen pedir a los usuarios que confirmen sus datos de pago para suscribirse a un servicio de streaming. Al visitar una página de suscripción falsa y suponer que compra el acceso a todas sus series favoritas, el usuario acaba enviando su dinero a los estafadores. El esquema es bastante sencillo, pero eficaz y, por tanto, muy extendido. Es más, estas páginas recogen tanto los datos de identificación como las credenciales bancarias.

Ejemplo de una página de phishing de Netflix que solicita credenciales bancarias

Otra forma muy extendida de robar dinero a los espectadores impacientes es la creación de páginas de suplantación de identidad que ofrecen la transmisión de determinados programas. Los estafadores suelen intensificar su actividad maliciosa en medio de los estrenos de los programas más esperados o de las nuevas temporadas de series populares. Con la esperanza de ver el anhelado estreno de la temporada, los usuarios pueden acabar en un sitio web que muestra los primeros minutos de la serie (por lo general extraídos de los tráilers oficiales) antes de que se les pida que paguen una pequeña cuota de suscripción para seguir viéndola. Por supuesto, tras pagar la “suscripción”, el episodio no continúa en streaming y los usuarios pierden su dinero a manos de los ciberdelincuentes.

Ejemplo de una página de phishing que ofrece transmitir el episodio de “El Mandaloriano”

No siempre son los usuarios los que descubren páginas web poco fiables mientras buscan una fuente de streaming: a veces son los estafadores los que encuentran a los usuarios. En este caso, los ciberdelincuentes pretenden robar el dinero o la cuenta de los espectadores de los servicios de streaming para después estafar a las víctimas a través del correo electrónico. La principal estratagema de este fraude es siempre similar: para no perder la cuenta, el usuario debe actualizar o confirmar la información de la cuenta bancaria, los datos de la tarjeta de crédito o las credenciales de la cuenta. Si el usuario cae en esta trampa, pasará las credenciales de su cuenta o sus datos bancarios a los ciberdelincuentes.

Correo electrónico de phishing en el que se pide al destinatario que proporcione un método de pago válido para la cuenta de Netflix

Los falsos regalos y sorteos, clásicos esquemas de phishing, no han tenido piedad de los servicios de streaming. Descubrimos, por ejemplo, una página de phishing que prometía a los usuarios una generosa recompensa en nombre de Disney+, si compartían el enlace con 20 amigos. En estos casos, los ciberdelincuentes utilizan a las propias víctimas como herramienta para difundir las estafas como parte de los sorteos. Un enlace enviado por personas conocidas gana más confianza que el recibido de un desconocido. Si el usuario sigue el enlace e intenta conseguir su premio, descubre que tiene que pagar alguna comisión o tarifa para recibirlo. Una vez pagado el dinero, los ciberdelincuentes desaparecen sin recompensar al desafortunado usuario.

Un falso sorteo pide difundir enlaces de phishing entre los amigos para conseguir un regalo de Disney

“Dark streaming” y el precio de las ofertas baratas

Una rápida búsqueda de cuentas de streaming en línea, en foros y mercados, así como en la web oscura, revela numerosos servicios “no oficiales” que ofrecen acceso al mismo contenido, según catálogo y a un precio mucho menor. Para muchos usuarios, estas opciones son demasiado tentadoras comopara ignorarlas.

Un escenario típico sería ver a un usuario comprando acceso a una cuenta con contraseña compartida. Dado que la mayoría de los servicios de streaming ofrecen la opción de compartir la suscripción con otros usuarios, familia o amigos, los estafadores se aprovechan de ello. En respuesta, los proveedores, entre ellos Netflix, están tratando de hacer cambios para regular el intercambio de contraseñas, con una reciente prueba de autenticación de dos factores para acabar con el fraude. Sin embargo, siguen existiendo ofertas de compartir contraseñas de cuentas, y con precios que rondan los 2,50 dólares por acceso mensual, son muy atractivas.

Un ejemplo de ofertas de cuentas de streaming en la Dark web

Otra opción disponible en la Dark web es comprar al por mayor datos de acceso a las cuentas robadas. El precio en este caso varía de 50 céntimos a 8 dólares.

En algunos foros, los usuarios incluso ofrecen la cuenta de streaming de forma “gratuita” para promocionarse como vendedores de cuentas o por el bien de la reputación en el foro. Cuando alguien adquiere cuentas, éstas vienen con alguna garantía de servicio temporal, por cierto número de días o meses, por ejemplo, o sin garantía. Sin embargo, en la práctica, estas “garantías” suelen carecer de valor, como veremos a continuación.

Ejemplo de una venta de cuentas de streaming con fines de reputación

Pueden pasar dos cosas después de comprar una cuenta de este tipo. En primer lugar, una cuenta se vuelve repentinamente inaccesible porque ha sido prohibida por el proveedor, o la información de acceso cambia, lo que significa que el usuario se queda sin acceder al contenido. El vendedor suele prometer que sustituirá la cuenta por otra, pero esto no siempre ocurre. El viejo adagio de “obtienes aquello por lo que pagas” es cierto en este caso.

En casi todos los casos, la euforia de tener un acceso barato a los últimos contenidos dura poco. Si una oferta parece demasiado buena para ser verdad, probablemente no lo sea. Tomar este camino es, en última instancia, fraudulento y un acto de piratería. Tampoco hay garantía de que, tras el pago, el comprador reciba la mercancía o, si lo hace, no tarden en bloquearle el acceso.

En definitiva, la mayoría de las cuentas que se venden en la Dark web son cuentas de usuarios reales. Las credenciales se obtienen ilegalmente a través de tácticas de ingeniería social y páginas de phishing en las que se engaña a los verdaderos propietarios de las cuentas para que den sus datos privados y confidenciales a los ciberdelincuentes para su propio beneficio.

Conclusiones y recomendaciones

Los servicios de contenidos a la carta y de streaming han experimentado un rápido crecimiento en el último año y medio, impulsados en gran medida por el mayor uso de la tecnología móvil y la disponibilidad de redes de alta velocidad, que se aceleraron aún más con la pandemia. Los consumidores de hoy en día esperan ver los estrenos de sus programas y películas favoritas, y así estar al día en las redes sociales.

Pero, en lugar de acudir a los canales “oficiales” para hacerlo, mucha gente no usa las vías legítimas de los servicios de streaming y elige alternativas más baratas o de acceso anticipado. Al buscar fuentes alternativas, los usuarios suelen enfrentarse al robo de datos, la pérdida de dinero o la descarga de malware en sus dispositivos.

Observamos cómo la actividad maliciosa alcanzó su punto álgido en los primeros seis meses de 2020. Nada raro, ya que en esta época del año se introdujeron las primeras restricciones y medidas de confinamiento. La gente empezó a quedarse más en casa y tuvo la oportunidad de pasar su tiempo libre viendo sus programas y series favoritas. Durante el año siguiente, observamos cómo el número de usuarios que encontraban programas maliciosos se reducía poco a poco.

Entre todas las plataformas analizadas, Netflix es el señuelo más utilizado por los ciberdelincuentes y estafadores. Detectamos 80 302 intentos de infectar a 17 031 usuarios con 7 199 archivos distribuidos utilizando el nombre de esta plataforma. Sin embargo, estas cifras también están bajando desde el primer semestre de 2020 hasta el primer semestre de 2021.

En cuanto a otras plataformas, este año Disney+ se ha convertido en un blanco mucho más atractivo para los ciberdelincuentes. Durante los primeros seis meses, el número de usuarios afectados por este servicio ya es superior a sus indicadores de todo el año 2020, con un crecimiento que casi se cuadruplica cada año.

La suplantación de identidad sigue siendo un grave problema para los usuarios de los servicios de streaming. Hemos descubierto páginas de phishing para cada plataforma analizada en varios idiomas, cuyo objetivo es robar la información de identificación de los usuarios, sus credenciales bancarias o su dinero. Como resultado, los datos enviados por las víctimas acaban en la Dark web y las cuentas de las plataformas de streaming se venden como cuentas para compartir la contraseña.

Para no convertirse en víctimas de programas maliciosos y estafas al utilizar servicios de streaming, Kaspersky aconseja a los usuarios:

  • Comprobar la autenticidad de los sitios web antes de introducir sus datos personales y utilizar únicamente páginas web oficiales y de confianza para ver o descargar películas. Comprobar los formatos de las URL y la ortografía del nombre de la empresa.
  • Prestar atención a las extensiones de los archivos que están descargando. Un archivo de vídeo nunca tendrá una extensión .exe o .msi.
  • Utilizar una solución de seguridad fiable, como Kaspersky Security Cloud, que identifica los archivos adjuntos maliciosos y bloquea los sitios de phishing.
  • No seguir enlaces que prometen la visualización anticipada de contenidos. En caso de duda sobre la autenticidad de los contenidos, consultar a su proveedor de entretenimiento.
  • No abrir los archivos adjuntos ni hacer clic en los enlaces de los correos electrónicos de los servicios de streaming, sobre todo si el remitente insiste en ello. Es mejor ir al sitio web oficial directamente y acceder a su cuenta desde allí.
  • Desconfiar de las ofertas que parezcan demasiado buenas para ser ciertas, como una “suscripción gratuita de un año”.
  • Siempre que sea posible, acceder a las plataformas de streaming únicamente a través de su propia suscripción de pago en la web o aplicación oficial descargada de las tiendas oficiales.
  • No descargar ninguna versión o modificación no oficial de las aplicaciones de estas plataformas.

Continúa la guerra del streaming: ¿Qué pasa con las ciberamenazas?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada