Historias reales: propagando Emotet a través del correo electrónico
En un día típico de trabajo se dan muchas circunstancias en las que se nos requiere urgencia e inmediatez: periodos de facturación, plazos inamovibles, fechas de cierre o compromisos inaplazables. Los ciberdelincuentes lo saben y se valen de estas circunstancias para usar la ingeniería social a través del correo electrónico y que «piquemos» en cosas tan cotidianas como descargarnos un archivo adjunto (una factura, imagen, hoja de cálculo, etc.).
Este es el caso de Sara, directora de la sede central de la empresa JubilActiva, que coordina actividades para la tercera edad, como excursiones, charlas formativas, actividades deportivas, etc., con varias delegaciones repartidas por toda España.
Sara estaba inmersa en la organización de un nuevo viaje centrado en visitar varias capitales del norte de Europa, cuando empezó a recibir varias llamadas que le resultaron alarmantes. Se trataba de los coordinadores de las delegaciones de JubilActiva que habían recibido un correo de Sara para que descargasen un documento y lo firmaran, tal como se muestra en la siguiente imagen:
En principio, nada hacía sospechar sobre el correo, ya que normalmente los empleados de JubilActiva se envían adjuntos a través del correo para agilizar el papeleo entre las distintas sedes. Quizá el texto era un poco escueto, pero en días ajetreados también es habitual enviar correos cortos y concisos. Al descargar el documento, este no se abría inmediatamente, sino que se visualizaba un mensaje como este:
Al hacer clic en «Habilitar contenido» (en la imagen, «Enable Content») no aparecía ningún documento relacionado con la empresa, por lo que la gente que lo recibía comenzó a llamar a Sara para pedir explicaciones sobre el misterioso documento. Ellos no eran conscientes, pero con esta acción le habían abierto la puerta al malware. Debido a la capacidad de réplica de Emotet, los primeros receptores de estos falsos documentos empezaron a recibir llamadas de sus contactos de correo electrónico. Estaban enviando también este correo a toda su lista de contactos.
¿Qué fue lo que pasó realmente?
El equipo de Sara estaba infectado con el malware Emotet, un malware de tipo troyano que utiliza la lista de contactos del correo electrónico del equipo infectado para propagarse. Emotet se transmite principalmente a través del correo electrónico enviando mensajes con adjuntos o enlaces maliciosos usados como cebo para que el receptor del mensaje descargue y ejecute el malware. Por eso, Sara estaba enviando los correos con adjuntos a todas las delegaciones de JubilActiva. Seguramente ella se infectó también desde algún correo electrónico de alguna empresa colaboradora o de un email informativo, pero no lo recordaba.
La peligrosidad de Emotet reside en su capacidad para robar credenciales de usuario e incluso derivar en una infección por ransomware.
¿Qué hacer si nos sucede esto?
Si necesitas ayuda tanto preventiva como reactiva para saber cómo actuar ante el malware Emotet, consulta el artículo: Prevención y desinfección del malware Emotet.
Además puedes aprender a identificar cuándo un correo es fraudulento a través de las publicaciones: Busca otro al que engañar, yo no voy a picar y ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos. En estos artículos te explicamos las técnicas más usadas por los ciberdelincuentes para engañarnos y a distinguir un correo legítimo de uno fraudulento.
No está de más que recuerdes y difundas entre tus colaboradores y partners estos Consejos para hacer un uso seguro del correo corporativo y Cómo evitar incidentes relacionados con los archivos adjuntos al correo.
Pero si todavía tienes dudas o necesitas ayuda con tu caso en particular no dudes en contactar con la Línea de Ayuda en Ciberseguridad de INCIBE. Un equipo de profesionales en materia de seguridad resolverá todas tus dudas.
Las técnicas de los ciberdelincuentes evolucionan pero en Protege tu empresa te mantenemos al día de todas la novedades para que mantengas segura tu empresa. Presta especial atención al correo electrónico y no te olvides de formar a tus empleados.