Un reflejo de esta predilección son los últimos casos que han vivido las Administraciones Públicas españolas. Remontándonos solo hasta finales del mes de septiembre, encontramos tres episodios en los que están implicados organismos oficiales -el Ayuntamiento de Jaén, varias sociedades públicas y consistorios dependientes del Gobierno vasco, y el Ayuntamiento de Aljaraque (Huelva)-, que han visto cómo Emotet, un troyano bancario modular y muy avanzado, ha puesto en jaque su infraestructura para robar datos bancarios de la población.
Si hacemos un análisis más global, vemos que lo ocurrido en España no es un caso aislado. Emotet lleva tiempo siendo uno de los malware más costosos y destructivos que afecta a los gobiernos (nacionales, regionales o locales) y a otras instituciones. Por ejemplo, en febrero de 2018 hizo que algunos de los sistemas públicos y financieros de la ciudad de Allentown (Pensilvania, EEUU) colapsaran, lo que conllevó más de un millón de dólares en pérdidas; y ese mismo año este troyano comprometió la red del banco Consorcio de Chile, que tuvo que hacer frente a la recuperación de cerca de dos millones de dólares. Emotet es uno de los malware más extendidos y peligrosos gracias a su polimorfismo, que le hace único. Además de infectar y actuar como un bot, es capaz de robar contraseñas y de moverse como un gusano. Puede llegar a los equipos de múltiples formas, desde por email hasta como dato anexo a un documento o como archivo, entre otras.
Aunque empezó como un troyano bancario, debido a que cambia automáticamente su código cada cierto tiempo o mediante acciones determinadas de los dispositivos, ha evolucionado y se parece más a un botnet. Según PandaLabs, de Panda Security, una vez que Emotet entra en una red, infecta todos los ordenadores de la misma en minutos y estos quedan a la espera de recibir órdenes de su servidor de comando y control. Generalmente se usa para robo de credenciales y para realizar spam, pero podría usarse para cifrar toda la red.
Cómo protegerse frente a este tipo de ataques
Para evitar un ataque de Emotet, tanto las instituciones como el resto de las corporaciones deben asumir que para enfrentarse al cibercrimen actual es necesario ir más allá de lo tradicional. Tal y como funcionan los ataques, que utilizan malware cambiante como Emotet y técnicas Living-off-the-Land, se debe invertir en prevención y detección a través de análisis exhaustivos y en tiempo real del sistema, valiéndose de técnicas como el Threat Hunting y de modelos Zero Trust. En este sentido, la plataforma Cytomic procesa grandes volúmenes de datos, eventos y threat intelligence a escala con algoritmos de inteligencia artificial, así como incorpora servicios de threat hunting que identifican activos que pueden estar comprometidos, y avisa del peligro para responder rápidamente ante el incidente MTTR y MTTD. Todo ello tiene el objetivo de reducir la superficie de ataque, prevenir, detectar y dar respuesta a ciberataques de cualquier naturaleza, ejecutados con todo tipo de malware conocido o desconocido, entre ellos, Emotet.
Cuando un servicio público deja de funcionar, una población puede verse paralizada, generando una gran desconfianza entre los ciudadanos. Por estas graves consecuencias, así como por el valor de la información que gestionan, el cibercrimen apuesta por las Administraciones Públicas como objetivo de sus actividades ilícitas, por lo que estas deben ser conscientes del riesgo y obrar en consecuencia.