Info-Stealers: prevención y protección contra el robo de información

01/08/2024

Por Graciela Martínez

Nuestra constante práctica de concientización a usuarios y organizaciones de la región sobre las vulnerabilidades de Internet y la promoción de buenas prácticas vinculadas a ciberseguridad nos lleva hoy a contarles sobre Info-Stealers. Ya que hemos observado un avance de esta ciberamenaza y debemos alertar y preparar a la comunidad técnica sobre el tema.

Los Info-Stealers constituyen una de las ciberamenazas que más daño pueden causarnos, puesto que tienen la capacidad de robar nuestras credenciales de acceso a un sistema, esto es el usuario y la contraseña asociada a ese usuario en el mismo.

¿Qué son los Info-Stealers? Se trata de un tipo de malware diseñado para recopilar credenciales de acceso para ser utilizadas luego para exfiltrar información sensible.

Tienen por objetivo principal recolectar información de credenciales acceso a diferentes sistemas, por ejemplo: credenciales que se guardan automáticamente en los navegadores, detalles bancarios y financieros, números de identificación personal, entre otros. También pueden recopilar información de navegadores web, clientes de correo electrónico y otras aplicaciones.

¿Cómo actúan? Por lo general, los Info-Stealers se propagan mediante diversos medios, fundamentalmente mediante correos electrónicos de phishing (lo más utilizados), archivos adjuntos maliciosos, sitios web infectados, vulnerabilidades de software o a través de software pirata, sin importar si el dispositivo tiene o no antivirus activado.

Las credenciales que se roban las venden en mercados negros o en redes sociales utilizadas por ciberdelincuentes.

Cuales lideran las estadísticas. De acuerdo al observatorio del CSIRT de LACNIC las familias de stealers que lideran las estadísticas en nuestra región son RedLine, Raccoon y Lumma. Siendo RedLine el que se lleva casi el 50% de incidencia.

Los tres son programas maliciosos que utilizan diferentes técnicas para la recolección de datos del equipo infectado con el fin de robar credenciales de acceso para su posterior venta en mercados negros. En la siguiente gráfica vemos la distribución de los mismos por tipo.

Cabe destacar que en la categoría “Otros” se incluye un porcentaje (14.6%) de Stealers genéricos, que son desarrollados para el robo de una amplia variedad de datos.

Cuidar la información. Lo más importante que tenemos es nuestra información. Sea personal o de nuestra organización. Es por ello que debemos protegerla. De ahí la importancia de practicar un comportamiento en línea seguro. Debemos estar más atentos mientras navegamos y garantizar que la seguridad en Internet sea percibida como una responsabilidad compartida por todos los actores (técnicos, profesionales y usuarios).

Recomendaciones

• Debemos evitar prácticas que puedan poner en riesgo nuestros equipos y dispositivos y nuestros datos, especialmente, nuestras contraseñas.

• Hay que estar atentos antes de abrir un correo o bajar un archivo adjunto. La técnica phishing está diseñada para convencer a los usuarios de abrir, cliquear y descargar correos.

• Educar al usuario sobre el phishing y otras tácticas de ingeniería social.

• Contar con contraseñas fuertes y robustas, no guardarlas en los browsers (navegadores).

• Recurrir a la autenticación de dos factores siempre que sea posible. Usar un sistema de contraseña+autenticación multifactor, duplica la capa de protección para las claves.

• Si el malware llega a introducirse en el sistema, hay que tratar de aislar el dispositivo o dispositivos infectados.

• Una vez detectado el problema es necesario remediarlo y proteger los entornos de la organización que podrían verse comprometidos.

• Tomar recaudos e informar si detectan o sospechan que las credenciales de acceso han sido vulneradas. Además de cambiar su contraseña, a la menor sospecha, los posibles afectados deben reportar de forma inmediata al CSIRT de su organización o en su defecto al área de tecnología.

Ponemos a disposición nuestro CSIRT para reportar el incidente de seguridad ante la amenaza de un infostealer para poder realizar las coordinaciones necesarias para mitigarlo. Allí incluso contamos con un plan para que las organizaciones desarrollen mejoras en su infraestructura crítica.

También contamos con servicios de capacitaciones para profesionales en nuestro Campus LACNIC con cursos específicos sobre seguridad y gestión de incidentes.

Nuestra recomendación final para las organizaciones es implementar sistemas de monitoreo de credenciales de acceso y de indicadores de compromiso, implementar el doble factor de autenticación, y contar un plan de respuesta a una posible brecha de seguridad.