Investigación

Las guerras de streaming: la perspectiva del ciberdelincuente

Las ciberamenazas no se limitan al mundo de las grandes empresas y las campañas a gran escala. Los ataques más frecuentes no son los APTs ni las fugas masivas de datos masivas, sino los encuentros cotidianos de los usuarios con el malware y el spam. Y, una de las áreas más vulnerables es la del entretenimiento, en particular porque estamos habituados a encontrar todo lo que deseamos ver o escuchar, por muy poco dinero o gratis. Por esta razón, el año pasado, nos preocupamos por saber cómo los ciberdelincuentes usan los programas de TV más populares para propagar su malware. Pero este año nos concentramos en otro sector no menos popular del entretenimiento: las plataformas de streaming.

2019 fue oficialmente el año en que empezaron las guerras del streaming, puesto que casi todas las principales compañías de la industria, sin importar a qué costo, se apresuraron a generar ganancias con el nuevo método de consumo de contenidos preferido de los consumidores: las plataformas de streaming. Todo comenzó con Apple TV+. Luego vino Disney+. Y después, la más reciente incorporación: HBO Max, un proyecto nacido de la adquisión de Time Warner por 85.400 millones de dólares. Ni qué decir del montón de diferentes plataformas locales que surgieron en varias partes del mundo. De hecho, se espera que el mercado mundial del streaming de video alcance los 688 700 millones de dólares hasta 2024.

Para los ciberdelincuentes, migrar a este mercado significa la apertura de un nuevo  y lucrativo canal de ataques. De hecho, apenas unas horas después del lanzamiento de Disney+, miles de cuentas de usuarios fueron hackeadas y sus contraseñas y direcciones de correo electrónico fueron cambiadas. Los ciberdelincuentes revendieron dichas cuentas en línea por de 3 a 11 dólares.

Y no solo los nuevos servicios de streaming son vulnerables. Servicios conocidos desde hace varios años, como Netflix y Hulu son blancos preferidos para la distribución de malware, robo de contraseñas y lanzamiento de ataques de spam y phishing. Su atractivo no ha hecho más que aumentar gracias al pico de suscriptores registrado en el primer semestre del año, cuando mucha gente perdió su trabajo o se vio obligada a permanecer en casa. En el primer trimestre de 2020, Netflix sumó 15 millones de suscriptores, más del doble de lo esperado. Esto significa que al menos otros 15 millones de personas son vulnerables a los ataques de los ciberdelincuentes contra los servicios de streaming. De hecho, una reciente investigación de Flixed, un servicio que ayuda a encontrar el mejor sustituto para el cable, determinó que más de 1 de cada 10 personas habían sufrido el hackeo de su cuenta.

No solo son millones los dueños de cuentas que están susceptibles, sino hay otros millones más que acceden a los servicios mediante parientes y amigos con quienes comparten sus contraseñas, además de una cantidad indeterminada de usuarios que intentan acceder a estas plataformas aprovechando descuentos, o se ven obligados a encontrar otros métodos para ver contenidos en áreas donde estos servicios no están disponibles.

Para ayudar a los usuarios en todo el mundo a conocer la realidad de las ciberamenazas, y protegerse, hemos hecho un análisis en profundidad del escenario de la ciberdelincuencia en los servicios de streaming.

Metodología

En este informe, hemos analizado varios tipos de amenazas: malware relacionado con plataformas de streaming y los contenidos originales que publican, así como los mensajes phishing de correo y sitios web y páginas de inicio de sesión fraudulentos.

Para ello, nos hemos basado en los resultados de  Kaspersky Security Network (KSN), un sistema para el procesamiento de datos anónimos relacionados con amenazas a la ciberseguridad que son compartidos de forma voluntaria por los usuarios de Kaspersky. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas entre enero de 2019 y el 8 de abril de 2020.

Las plataformas de streaming analizadas en este informe son las siguientes:

1) Netflix: Fue el primer servicio de este tipo. Lanzado en 1997, originalmente era una tienda de alquiler de DVD s en línea, antes de convertirse al streaming a mediados de la primera década de este siglo. Sigue siendo la plataforma de streaming más popular con 183 millones de miembros con cuentas de pago en más de 190 países.

2) Hulu: Este servicio, lanzado en EE.UU. en 2008, ofrece a sus suscriptores no solo una biblioteca de programas y películas por streaming (originales y no originales), sino también la oportunidad de mirar los últimos episodios de series transmitidas por las principales cadenas televisivas de ese país. Actualmente cuenta con 32,1 millones de suscriptores en EE.UU.

3) Amazon Prime Video: Este servicio de streaming de video se lanzó en 2006 y es ofrecido a todos los suscriptores de Amazon Prime (esta suscripción incluye envío postal en dos días, música y libros gratuitos). Amazon prime Video ofrece acceso a un catálogo de videos y series de televisión, originales y otras. También se puede pagar por complementos que permiten acceder a contenidos de otros canales, como Starz y HBO. Amazon prime cuenta con más de 150 millones de suscriptores en todo el mundo. Por supuesto,  esta cantidad incluye a todos los miembros Prime, algunos de los cuales pueden no ser usuarios del servicio de streaming de video.

4) Disney +: Lanzado en noviembre de 2019, ofrece acceso a la biblioteca completa de contenidos de Pixar, National Geographic y Disney. También ofrece todos los títulos relacionados con la franquicia Star Wars y varias otras series originales. Actualmente cuenta con 54,5 millones de suscriptores en todo el mundo.

5) Apple TV Plus: Lanzado en noviembre de 2019, poco antes de que lo hiciera Disney Plus. Consiste de programas originales y está disponible en más de 100 países. La cantidad de suscriptores no está clara, pero fuentes externas estiman que esté entre los 10 y 33 millones. Sin embargo, cualquiera que haya comprado un Apple TV, iPod, iPad, iPhone o Mac a partir del 10 de septiembre de 2019, obtiene una suscripción gratuita por un año.

Programas maliciosos para las plataformas de streaming:

Cuando se trata de plataformas de streaming, los programas maliciosos y otras amenazas, como los programas publicitarios, suelen descargarse cuando el usuario intenta acceder a través de los canales oficiales, ya sea mediante cuentas compradas con descuentos, o un “crack” que les permita ampliar la duración de su cuenta gratuita, o una suscripción gratuita. Muchas veces, estos enlaces o archivos no oficiales vienen junto con programas maliciosos, como troyanos y puertas traseras.

KSN nos ha permitido buscar programas maliciosos que venían junto con archivos que contenían el nombre de las cinco plataformas arriba mencionadas cuyo fin es obtener credenciales de inicio de sesión, una suscripción o descargar la plataforma para su visualización. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas mientras intentaban ingresar a Netflix, Hulu, Amazon Prime Video, Disney +, y Apple TV Plus a través de canales no oficiales.

También nos enfocamos en los verificadores de cuentas, que son herramientas para verificar credenciales filtradas, a menudo a consecuencia de fugas de datos, en varios sitios. Debido a que muchos usuarios reutilizan sus datos de inicio de sesión, las contraseñas y nombres de usuario filtrados pueden permitirles acceder a múltiples cuentas en línea, y las herramientas verificadoras de cuentas permiten que los ciberdelincuentes determinen exactamente las cuentas, de manera que puedan vender el acceso a las mismas (o robar la información financiera o personal relacionada con ellas).

Además, los usuarios pueden acceder o descargar verificadores de cuentas disponibles en línea en un intento de obtener acceso gratuito a las plataformas de streaming. Por supuesto, el uso de estas herramientas implica el riesgo creciente de encontrarse con malware. Para saber el número de usuarios que se encontraron con varias amenazas mientras utilizaban verificadores de cuentas para las cinco plataformas de streaming arriba mencionadas, estudiamos los archivos que descargaban varias amenazas y contenían el nombre de una de las plataformas de streaming junto a los términos clave “checker” (verificador), “brute” o “cracker”. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas mientras buscaban verificadores de cuentas para Netflix, Hulu, Amazon Prime Video, Disney +, y Apple TV Plus.

Programas maliciosos para series originales:

Asimismo, analizamos los programas maliciosos asociados con los programas originales de estas plataformas durante el mismo periodo. El proceso resultó ser el mismo que el de los programas maliciosos relacionados con las plataformas de streaming. KSN nos permitió buscar programas maliciosos que venían con archivos que contenían el nombre de conocidos programas televisivos originales.

Disney+, antes del 8 de abril, tenía un importante lanzamiento de contenido original: The Mandalorian. Por el contrario, otros, como Netflix, tienen extensas bibliotecas de contenidos originales. Por lo tanto, seleccionamos los más populares o más vistos. Puesto que muchas de estas plataformas no suelen publicar la cantidad de vistas, recurrimos a fuentes públicas, como Rotten Tomatoes, IMDB y Metacritic para elaborar la siguiente lista:

Disney +:

  • The Mandalorian

Netflix:

  • Sex Education
  • Ozark
  • Stranger Things
  • The Witcher
  • Love is Blind
  • BoJack Horseman
  • Orange is the New Black
  • Tiger King

Amazon Prime Video:

  • Catastrophe
  • Fleabag
  • Transparent
  • Bosch
  • The Expanse
  • The Marvelous Mrs. Maisel
  • The Man in the High Castle

Hulu:

  • Castle Rock
  • High Fidelity
  • Little Fires Everywhere
  • Veronika Mars
  • The Handmaid’s Tale

Apple TV Plus:

  • Servant
  • Dickinson
  • Ghostwriter
  • The Morning Show

Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas en archivos maliciosos que contenían uno o más de los señuelos arriba mostrados.

  • Nuestros principales hallazgos: Un método común de phishing es pedirle al usuario que confirme o actualice la información de pago de su cuenta en una plataforma de streaming. Si el usuario lo hace, los ciberdelincuentes acceden a la información financiera de la víctima, como los datos de su tarjeta de crédito y de facturación.
  • Ninguno de los usuarios de Kaspersky se encontró con amenazas mientras intentaba acceder a Apple TV Plus.
  • Netflix es, de lejos, la plataforma que más usan los ciberdelincuentes como señuelo para inducir a los usuarios de Kaspersky a que descarguen varias amenazas, ya sea cuando acceden a la plataforma, modifican la aplicación o recopilan la información de inicio de sesión.
  • En su intento de acceder a las plataformas de streaming, 5577 usuarios únicos de Kaspersky se encontraron con enlaces con el nombre de plataformas legítimas, como Hulu, Netflix, Amazon Prime o Disney+, como señuelo, o mientras los atacantes intentaban capturar las credenciales de los usuarios de estas plataformas.
  • Hubo un total de 23 936 intentos de infectar a estos 5577 usuarios.
  • La amenaza con que más se toparon en todos los ataques que usurparon el nombre de una de las cinco plataformas de streaming ya mencionadas, fueron diferentes tipos de troyanos, que totalizaron el 47% de todas las amenazas detectadas.
  • La mayoría de los ataques detectados que contenían el nombre de Netflix como señuelo provenía de Alemania. Para Amazon prime: EE.UU. Para Hulu: República Dominicana. .
  • 6661 usuarios de Kaspersky se encontraron con malware al entrar en contacto con las verificadores de cuentas mientras intentaban acceder a Hulku, Netflis, Amazon Prime o Disney+.
  • Hubo un total de 57 784 intentos de infectar a estos 6661 usuarios.
  • Las cinco series más utilizadas por los ciberdelincuentes para atraer la atención de los usuarios e inducirlos a instalar varias amenazas, fueron The Mandalorian, una serie original de Disney+, seguida de Stranger Things, The Witcher, Sex Education, y Orange is the New Black de Netflix.
  • Más de la mitad de los ataques (51%) que se camuflaron como una de las cinco series más usadas como señuelo, provino de España.

Usando el phishing para pescar credenciales

Una de las formas más antiguas y efectivas de robar credenciales de cuentas es el phishing. A los ciberdelincuentes puede incluso no importarles acceder a las cuentas de plataformas de streaming pirateadas. Una vez que han obtenido el correo electrónico y la contraseña de la cuenta, pueden usarlos con varios propósitos: lanzar más ataques de spam o phishing, acceder a otras cuentas de la víctima (es frecuente que los usuarios usen una misma contraseña para varias de sus cuentas), o capturar la información de facturación o de la tarjeta de crédito asociadas con la cuenta.

Entre las estafas a través del phishing relacionadas con las plataformas de streaming, está la imitación de las páginas de inicio de sesión con el fin de capturar las credenciales de sus víctimas. Y Netflix sigue siendo el blanco más atractivo. Los investigadores de Kaspersky detectaron páginas falsificadas de inicio de sesión de Netflix en cuatro idiomas: francés, portugués, español e inglés. También descubrieron similares falsificaciones para Hulu.

Página fraudulenta de inicio de sesión de Netflix en español

Página fraudulenta de inicio de sesión en Hulu

Con el lanzamiento de Disney+, los ciberdelincuentes tuvieron otro blanco y comenzaron a crear páginas de phishing dirigidas a los usuarios.

Página de phishing en italiano urgiendo al usuario a suscribirse a una cuenta gratuita de Disney+

Estas estafas de phishing no son una novedad. En 2019, Kaspersky detectó que los ciberdelincuentes explotaban los eventos deportivos y de entretenimiento más importantes para lanzar sus ataques. Los usuarios son tentados con ofertas como acceso gratuito a la última temporada de Game of Thrones y para ello solo tienen que crear una cuenta gratuita e ingresar su información de pago. Estos ciberdelincuentes usaron el mismo esquema en el lanzamiento de Disney+ para robar los datos financieros de la víctima.

Oferta fraudulenta para un año de suscipción gratuita a Disney+. Si el usuario continúa, se le pide que introduzca sus datos de pago, incluyendo los dígitos de seguridad de su tarjeta de crédito

Otro tipo de ataque muy común con fines de lucro consiste en engañar a los usuarios para que confirmen sus datos de pago o añadan otros. Por supuesto, si lo hace, los ciberdelincuentes acceden a los fondos asociados con la tarjeta de crédito o la cuenta bancaria de la víctima. Estos ataques se realizan mediante falsas páginas de phishing que lucen como las originales (ver abajo) y como mensajes de correo enviados a las cuentas del usuario.

Izquierda: página falsificada de pago de Netflix pidiendo al usuario que añada un nuevo método de pago. Derecha: una estafa de phishing pidiendo al usuario que añada sus datos de pago a su cuenta de Hulu

El contenido de los mensajes de correo es similar: se le advierte al usuario que su método de pago ya no es válido o que debe confirmarlo, y que si no lo hace pronto, quedará suspendido el acceso a su cuenta, o su membresía. Los usuarios que caen en la trampa corren el riesgo de que las credenciales de sus cuentas, sus datos bancarios y de sus tarjetas de crédito queden expuestos.

Mensaje phishing de correo pidiendo al destinatario que cambie a un nuevo y válido método de pago para su cuenta de Amazon Prime

El phishing es un método antiguo y a menudo exitoso que usan los ciberdelincuentes para lucrar rápida y fácilmente a costa de sus víctimas. Dado que la cantidad de suscriptores de los servicios de streaming solo tiende a crecer, es probable que también lo haga el número de estafas por phishing relacionadas con estas plataformas, así como el de las plataformas atcadas.

Descargue su app favorita de streaming… junto a malware

Los servicios de streaming no solo constituyen un blanco primario para las estafas de spam y phishing, sino que también son convenientes para propagar malware. Por supuesto, quienes se suscribieron a las plataformas de streaming mediante los canales oficiales y solo usan las versiones aprobadas por ellas, pueden, en la mayoría de los casos, evitar la descarga accidental de malware u otras amenazas. Pero quienes buscan acceder a ellas (mediante cuentas “hackeadas”, la descarga de versiones gratuitas o usando suscripciones gratuitas), son mucho más susceptibles a descargar amenazas junto al deseado acceso. Pero tampoco los suscriptores son inmunes. Pueden toparse con programas maliciosos si descargan versiones no oficiales o modificadas de la app (p.ej., Netfix con fondo negro en lugar del rojo). También pueden convertirse en víctimas del malware si los ciberdelincuentes intentan robar las credenciales de sus cuentas.

La cantidad de usuarios únicos de Kaspersky que encontraron amenazas que llevaban el nombre de plataformas legítimas como señuelo mientras miraban conocidas plataformas de streaming a través de medios no oficiales son:

Gráfico que describe la cantidad de usuarios únicos que se encontraron con amenazas que llevaban el nombre de conocidas plataformas de streaming mientras accedían a ellas a través de medios no oficiales entre enero de 2019 y el 8 de abril de 2020 (descargar)

Netflix fue, de lejos, la plataforma favorita de los ciberdelincuentes para engañar a los usuarios e inducirlos a descargar amenazas, seguida de Hulu y Amazon Prime, en el segundo y tercer lugar, respectivamente. Solo 28 usuarios se encontraron con amenazas cuando miraban Disney+ a través de medios no oficiales, y ninguno mientras miraba Apple TV Plus.

Disney+ es un servicio nuevo, lo que parcialmente explica las bajas cifras. Además, está disponible en muchos menos países que Amazon Prime y Netflix: 15 contra más de 100. Por otra parte, ya que Hulu solo está disponible en EE.UU., cualquier usuario fuera de ese país que quiera acceder a ella, tiene que hacerlo a través de medios no oficiales, lo que aumenta las probabilidades de encontrarse con amenazas.

La virtual ausencia de Apple TV Plus en las estadísticas, se debe a que muchos usuarios recibieron una suscripción anual gratuita cuando compraron dispositivos para Apple TV u otros dispositivos Apple a partir del 10 de septiembre de 2019. Puesto que la mayoría de los programas maliciosos se descarga cuando los usuarios intentan acceder a dichas plataformas sin contar con una suscripción legítima; entonces, cuantos más usuarios cuenten con la suscripción legítima, habrá menos descargas de malware. Si bien los usuarios pueden encontrarse con programas maliciosos mientras intentan convertir contenidos o videos de DVD a un formato compatible con Apple TV, si ya cuentan con ella, no necesitan buscar fuentes no oficiales para mirar Apple TV Plus.

Además, Apple TV Plus ha hecho grandes esfuerzos para entrar en la batalla del streaming. Investigaciones sugieren que menos del 10% de los usuarios elegibles para la suscripción anual gratuita la aprovechó.  Y, si bien está disponible en más de 100 países, podría tener apenas 10 millones de suscriptores. Dada esta popularidad relativamente baja, no resulta sorprendente que no sea un blanco atractivo para los ciberdelincuentes.

La cantidad total de intentos por infectar usuarios que intentaban acceder a conocidas plataformas de streaming a través de medios no oficiales que usurpan los nombres de estas plataformas como señuelo, fue de 23 936.

Gráfico que describe la cantidad de intentos de infectar usuarios que intentaban acceder a conocidas plataformas de streaming a través de medios no oficiales que usurpan los nombres de estas plataformas como señuelo entre enero de 2019 y el 8 de abril de 2020 (descargar)

Distribución porcentual de diferentes tipos de amenazas que usurpan los nombres de conocidas plataformas de streaming con las que los usuarios se encontraron entre enero de 2019 y el 8 de abril de 2020 (descargar)

La amenaza más común con la que se encontraron los usuarios mientras accedían a plataformas de streaming a través de plataformas no oficiales (47%) es también la más peligrosa: los troyanos. Este tipo de archivos maliciosos les permite a los ciberdelincuentes hacer de todo, desde eliminar o bloquear datos hasta interrumpir el rendimiento del equipo. Algunos de los troyanos distribuidos eran troyanos espía:  archivos maliciosos muy peligrosos que rastrean las actividades de la víctima en el dispositivo infectado. Las víctimas infectadas con estos espías pueden sufrir el robo de sus archivos y fotos, así como de los inicios de sesión y contraseñas de sus cuentas bancarias.

La segunda amenaza más común que detectamos fue “not-a-virus”, ya sea riskware o adware. El riskware abarca desde administradores de descargas hasta herramientas de administración remota, y el adware bombardea a los usuarios con publicidad no deseada.

Algo alarmante es el porcentaje considerable de usuarios que se encontraron con puertas traseras. Estos archivos maliciosos conceden a los ciberdelincuentes el control remoto del dispositivo de la víctima y para realizar todas las tareas que deseen, incluyendo usar el equipo como parte de redes zombi.

Amenazas encontradas por región

Países con el mayor número de ataques detectados: Hulu
1) República Doiminicana 10,5%
2) Estados Unidos 10,4%
3) Indonesia 5,6%
4) India 4,9%
5) China 4,5%

Amenazas que se propagaron por todo el mundo usurpando el nombre de Hulu como señuelo para usuarios que intentaban mirar plataformas a través de medios no oficiales  El segundo número mayor de ataques provino de EE.UU., lo que no resulta sorprendente. Dado que se trata de un servicio de EE.UU., es muy conocido en ese país, lo que lo convierte en un blanco atractivo para los ciberdelincuentes.

Países con el mayor número de ataques detectados: Netflix
1) Alemania 11,2%
2) Argelia 8,2%
3) India 7,8%
4) Brasil 7,8%
5) Francia 4,3%

Los usuarios de Netflix se encontraron con amenazas en todo el mundo. La cantidad mayor de ataques provino de Alemania. Esto puede deberse a que Alemania es uno de los diez países más populares para Netflix.

Países con el mayor número de ataques detectados: Amazon Prime Video
1) Estados Unidos 36,5%
2) India 17,8%
3) Alemania 15,1%
4) Brasil 4,3%
5) Filipinas 2,8%

Usuarios en todo el mundo que se encontraron con amenazas cuando intentaban mirar Amazon Prime Video a través de medios no oficiales, con el mayor número de ataques proveniente de EE.UU. (36,5%): el mayor mercado de Amazon. Alemania es el mayor mercado extranjero de Amazon, lo que explica la gran cantidad de usuarios que se encontraron con amenazas, e India se convirtió en un gran mercado para Amazon en 2018. El 76,5% de todos los ataques que contenían menciones a Amazon Prime provino de estos cinco países.

Países con el mayor número de ataques detectados: Disney+
1) Argelia 30%
2) Países Bajos 14%
3) Arabia Saudita 8,5%
4) India 7,7%
5) Irlanda 7,7%

El mayor número de intentos de infección detectados que usurparon el nombre Disney+ provino de Argelia (30%) El servicio no está disponible en Argelia, por lo que quien quiera acceder a él, debe hacerlo de forma ilegal, aumentando así las probabilidades de encontrarse con archivos maliciosos. Lo mismo se aplica a Arabia Saudita.

El rol de los verificadores:

Al mismo tiempo que los suscriptores de Disney+ se enteraban de que sus cuentas habían sido hackeadas y se quedaron sin ellas, esas mismas cuentas empezaron a  aparecer en los foros de hackers. De hecho, la venta de cuentas de plataformas de streaming en el mercado negro es un gran negocio que funciona desde hace años. Para comprar una cuenta de plataformas de streaming solo hay que introducir “free netflix accounts” (cuentas gratuitas de Netflix) o “purchase cheap hulu suscriptions” (comprar suscripciones baratas para Hulu) en el navegador Google y aparecerán numerosos resultados.  Hay sitios web completamente dedicados a la venta de inicios de sesión de cuentas a bajos precios.

Las credenciales se recopilan de varias formas. La más común es a través de correos phishing y sitios web falsos (ver arriba). En 2016, Trend Micro descubrió un esquema en el que, engaño mediante, se inducía a los usuarios de Netflix a hacer clic en enlaces maliciosos que recibían por correo; una vez hecho esto, los programas maliciosos adjuntos automáticamente recopilaban los datos de inicio de sesión de sus cuentas.  Con este ardid, los atacantes recopilaron más de 300 000 contraseñas que luego vendieron.

Una popular herramienta para recopilar credenciales son los llamados verificadores de cuentas. Los verificadores de cuentas prueban contraseñas descubiertas mediante una fuga o en un sitio de vertido en otros sitios web para ver si efectivamente permiten el acceso a cuentas. Una vez que encuentran las coincidencias (es decir, un correo electrónico y una contraseña para una cuenta vigente de Amazon Prime), los ciberdelincuentes se adueñan de ella y de todos los datos financieros que figuran en ella, y los revenden en línea.

Gráfico que describe el número de usuarios únicos que se encontraron con amenazas agrupadas con verificadores de cuentas de conocidas plataformas de streaming, entre enero de 2019 y el 8 de abril de 2020 (descargar)

No solo los ciberdelincuentes recurren a los verificadores, sino también cualquiera que busque acceder a una cuenta de plataformas de streaming puede dar con ellas, ya sea de forma intencional o casual. Por desgracia, estas herramientas suelen venir agrupadas con otras amenazas, incluyendo malware. Entre enero de 2019 y el 8 de abril de 2020, 6661 usuarios de Kaspersky se encontraron con amenazas cuando buscaban verificadores de cuentas en su afán de acceder a plataformas de streaming. En total, hubo 570784 intentos de infectar a estos usuarios a través de los verificadores de cuentas. Una vez más, Netflix fue la plataforma más buscada mediante las verificadores de cuentas, con 6292 usuarios que quedaron expuestos a amenazas de esta manera, y se detectaron 52 889 intentos de infección.

La segunda plataforma más buscada por los usuarios cuando se encontraron con amenazas a través de los verificadores de cuentas, fue Hulu. Esto podría, una vez más, atribuirse a que, actualmente, Hulu solo está disponible dentro de EE.UU. Esto significa que, para muchos, la única forma de acceder a ella es mediante credenciales robadas o comprando suscripciones gratuitas.

Respecto a Amazon Prime, pocos usuarios se encontraron con amenazas asociadas con los verificadores de cuentas. Esto puede deberse al modelo de suscripción de Amazon Prime Video, que viene como parte de un paquete para cualquier cuentahabiente de Amazon con una suscripción Prime. Quienes buscan acceder a Amazon Prime Video pueden estar detrás de credenciales para cuentas generales de Amazon, en lugar de cuentas específicas de Amazon Prime Video.

Ningún usuario se encontró con amenazas mediante los verificadores de cuentas asociadas con Apple TV Plus. Por supuesto, esto puede deberse a que Apple concedió cuentas gratuitas por un año.

La amenaza detrás de los contenidos originales

Servicios de streaming como Netflix ganaron popularidad no solo por ofrecer películas y series de terceros, sino además por producir sus propios contenidos. Algunas de las series más populares de Netflix son originales y se estima que este año generarán 17 300 millones de dólares. Plataformas como Apple TV Plus siguieron este camino, con una inversión de 6 mil millones de dólares en contenidos originales para su lanzamiento. Para quienes quieren ver estas producciones originales sin pagar los 5-10 dólares mensuales que  cuesta una suscripción, la única forma es descargándolas desde un tercero. Esto, por supuesto, conlleva el riesgo de descargar también programas maliciosos.

En cuanto al número de usuarios únicos afectados, las 10 series (entre las 25 mencionadas en la sección Metodología de este informe) más usadas por los ciberdelincuentes como señuelo para propagar sus amenazas, incluyendo malware, son:

1) The Mandalorian (Disney +) 1614
2) Stranger Things (Netflix) 1291
3) The Witcher (Netflix) 1076
4) Sex Education (Netflix) 420
5) Orange is the New Black (Netflix) 253
6) Ozark (Netflix) 177
7) The Man in the High Castle (Amazon Prime Video) 142
8) The Expanse (Amazon Prime Video) 119
9) Fleabag (Amazon Prime Video) 102
10) Castle Rock (Hulu) 99

Las 10 series originales de Amazon Prime, Apple TV Plus, Hulu, Netflix y Disney + más utilizadas como señuelo para propagar amenazas y el número de usuarios únicos que se encontraron con amenazas.

La serie más utilizada como señuelo fue The Mandalorian (1614), una serie original de Disney+ estrenada en 2019. Se convirtió en el primer éxito original de la plataforma y la serie con mayor demanda en el streaming en noviembre del año pasado. Stranger Things (1291), seguida de cerca por The Witcher (1076), tuvieron la mayor cantidad de usuarios que se encontraron con amenazas, en segundo y tercer lugar, respectivamente. Sex Education se ubicó en un distante cuarto lugar con 420. De las 10 series originales usadas como señuelo que tuvieron el mayor número de usuarios que se encontraron con amenazas, 5 fueron de Netflix, 3 de Amazon Prime Video, 1 de Hulu y 1 de Disney+.

Netflix posee el catálogo más extenso de contenidos originales, por lo que no sorprende que sus producciones estén entre las más utilizadas para camuflar archivos maliciosos. Stranger Things es una de las series más populares de esta plataforma: el estreno de su tercera temporada atrajo a 26,4 millones de televidentes en solo cuatro días, marcando un récord. The Witcher también fue un gran éxito para Netflix, con 76 millones de televidentes en todo el mundo que miraron al menos los primeros dos minutos. Sex Education, que cuenta con dos temporadas, tuvo unos 40 millones de usuarios en la primera temporada.

Las cinco series más usadas como señuelo, en detalle:

4502 usuarios de Kaspersky se encontraron con malware camuflado como las cinco series más usadas como señuelo por los ciberdelincuentes (The Mandalorian, Stranger Things, The Witcher, Sex Education, Orange is the New Black). Las primera es original de Disney+, mientras que las restantes cuatro son de Netflix.

Hubo un total de 18 947 intentos de infectar a estos usuarios mediante las cinco series usadas como señuelo arriba mencionadas; la mayor cantidad de intentos (5855) le correspondió a The Mandalorian.

La distribución de las amenazas específicas detectadas es:

Distribución porcentual de las diferentes amenazas lanzadas contra los usuarios y que usurpaban el nombre de una de las cinco series más utilizadas como señuelo por los ciberdelincuentes (descargar)

Casi dos tercios de estas amenazas detectadas (74%) eran troyanos. Entre los troyanos se encontraban desde espías,  droppers y descargadores, hasta secuestradores, bancarios (diseñados para robar dinero desde cuentas bancarias), y PSWs (diseñados para robar inicios de sesión y contraseñas). La segunda amenaza más común detectada, fueron los archivos “not-a-virus”. Una reducida cantidad de programas maliciosos genéricos (Objetos Peligrosos), puertas traseras y exploits, también se encontraba entre los detectados.

Los países donde se detectó el mayor número de amenazas distribuidas camufladas como las cinco series mencionadas, son:

1) España 51,2%
2) Rusia 17,6%
3) India 2,7%
4) Sudáfrica 2%
5) Bielorrusia 1,9%
6) Etiopía 1,8%
7) Argelia 1,8%
8) Turquíz 1,5%
9) Kenia 1,4%
10) Filipinas 1,4%

Los diez países donde se detectó la mayor cantidad de ataques que usurpaban el nombre de una de las cinco series más usadas como señuelo por los ciperbiratas (The Mandalorian, Stranger Things, The Witcher, Sex Education, y Orange is the New Black)

Más de la mitad de los ataques detectados que usurpaban el nombre de una de las cinco series más usadas como señuelo por los ciberdelincuentes, provino de España. En marzo, Disney+ anunció su alianza estratégica con Telefónica de España, uno de los operadores telefónicos más grandes del mundo, para lanzar en ese país el principal servicio de streaming por suscripción: Movistar Plus. Es muy probable que esto signifique que Disney+ ha llamado bastante la atención en España, por lo que no sorprendería que una gran cantidad de interesados quiera descargar su serie más exitosa. Además, Netflix es la segunda plataforma de streaming en España, después de Movistar.

Un porcentaje significativo de los ataques (17,6%) provino de Rusia, mientras que el tercer porcentaje más representativo provino de India. Disney+ fue lanzado en India como parte de Hotstar la plataforma de streaming local, y se estima que sumaron 8 millones de suscriptores hasta abril. Netflix también ha crecido notoriamente en India en los últimos meses.

El futuro

Las guerras en el streaming acaban de comenzar, así como las diferentes formas de ciberdelincuencia  asociadas a este medio. La pandemia a nivel mundial y la consecuente alza en la cantidad de suscriptores han llamado poderosamente la atención de los ciberdelincuentes.

El aumento del número de plataformas conlleva que los usuarios sean más vulnerables a los ataques de los ciberdelincuentes: cuantas más suscripciones tiene un usuario,  más difícil resulta vigilar las actividades sospechosas en ellas, especialmente si deja de usar una de ellas, pero su suscripción se mantiene vigente. Además, los usuarios tienden a utilizar las mismas contraseñas en todas sus cuentas, lo que significa que si los ciberdelincuentes logran hackear una de ellas, podrían usar las mismas credenciales para hackear otras y lograr su objetivo de robar los datos personales y bancarios de las víctimas.

Por otro lado, la compraventa de contenidos de dichas plataformas es cada vez más cara. Cada suscripción individual puede costar entre 6 y 12 dólares mensuales. De hecho, suscribirse a las cinco plataformas de streaming que hemos analizado aquí, costaría 36 dólares mensuales, sin mencionar las suscripciones a otras plataformas o canales locales. Cuantas más plataformas haya, más suscripciones tendrán que comprar los usuarios para ver todos sus contenidos favoritos, y eso significa que tendrán que gastar más dinero del que quizás tengan.  En otras palabras, cuanto más caro se ponga el streaming, más usuarios se verán tentados a acceder a estos servicios de formas menos caras: comprando cuentas con rebajas, usando verificadores de cuentas, o cayendo en la trampa de las suscripciones gratuitas. Esto los hará más vulnerables a infecciones con malware y a otras ciberamenazas.

En cuanto a las plataformas de streaming más usadas como señuelo para inducir a los usuarios a descargar amenazas, Netflix es, de lejos, la más utilizada, ya sea para engañar a los usuarios que intentan acceder a esta plataforma o mirar sus contenidos originales. A nivel mundial, Netflix posee la mayor cantidad de suscriptores (es difícil saber cuántos usuarios miran Amazon Prime Video porque Amazon solo cuenta el total de miembros de Prime). Sin embargo, esto podría cambiar a medida que nuevas plataformas aumenten su base de suscriptores. Disney+ alcanzó los 54,5 millones de suscriptores en apenas seis meses, lo que señala que podría convertirse en un duro competidor de Netflix. A medida que ciertos contenidos y plataformas cobren mayor popularidad, también lo harán los blancos principales de los ataques de ciberdelincuentes.

No importa la plataforma o programa que se mire, es importante tomar ciertas precauciones para estar protegido.

Para estar protegido contra las estafas del phishing relacionadas con las plataformas de streaming, los expertos de Kaspersky recomiendan:

  • Examinar la dirección del remitente: si proviene de un servidor de correo gratuito o contiene simbolos que no tienen ningún sentido, es muy probable que se trate de un correo fraudulento.
  • Prestar atención al texto: las compañías reconocidas no envían correos con malos formatos ni redactan con errores ortográficos.
  • No abrir adjuntos ni hacer clic en enlaces incluidos en correos supuestamente enviados por los servicios de streaming, especialmente si el remitente insiste en ello. Es mejor ir al sitio oficial directamente y acceder a la cuenta desde ahí.
  • Hay que desconfiar de aquellas ofertas que parezcan muy buenas para ser ciertas, como las que ofrecen un año de suscripción gratuita.
  • No visitar sitios web hasta comprobar que son legítimos y que comienzan con “https”.
  • Una vez en el sitio, hay que comprobar que sea auténtico.
      • Revisar cuidadosamente el formato de la URL y que el nombre del servicio esté escrito correctamente, y también hay que leer los comentarios y verificar la fecha de registro del dominio antes de proceder con la descarga.
  • Usar una solución de seguridad confiable, como Kaspersky Security Cloud, que es capaz de identificar adjuntos maliciosos y de bloquear sitios de phishing.

Para protegerse contra el malware al mirar plataformas de streaming o sus series originales:

  • Cuando sea posible, solo acceder a las plataformas a través de la propia suscripción legítima en el sitio web legítimo o desde la app descargada de sitios oficiales.
  • No descargar versiones ilegítimas ni modificaciones de las apps de estas plataformas.
  • Usar contraseñas distintas y sólidas para cada cuenta que se tenga.
  • Usar una solución confiable, como Kaspersky Security Cloud, diseñada para brindar protección avanzada en todos los dispositivos.

Las guerras de streaming: la perspectiva del ciberdelincuente

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada