Por Rodrigo E. Bionda (*)

Especial para El Tiempo

Nuestra existencia transcurre bajo una atmósfera impregnada de señales binarias y en un ecosistema que posibilita el desarrollo de millones de virus o malware que no son más que programas o software maliciosos que producen daños significativos y de diferente naturaleza en sistemas informáticos de manera intencionada y sin que el usuario tenga conocimiento de lo que está ocurriendo en su dispositivo.

Una de las especies que infectan los espacios de almacenamiento de datos binarios en los que nos guarecemos a diario, son los troyanos; es decir programas que operan bajo una interfaz inocente con aspecto de ser un software legítimo y seguro, pero que cuando se los ejecuta brindan al atacante el acceso al equipo desde el que opera de manera remota, apoderándose del control del aparato y sus aplicaciones.

En ese salvaje ecosistema digital en que escribimos nuestra propia biografía, fue divisado por primera vez en la primavera cero de un febril año 2021, otro de tantos millares de troyanos que proliferan on line en entornos sometidos al yugo del silicio y que ha sido denominado The Godfather.

Este virus -sin preocuparse que pareciera un accidente-, recientemente ha montado un feroz contraataque de escala mundial. Es un resurgimiento reload, ya que imitando a Google Protect -la herramienta de protección del sistema operativo Android- ha logrado camuflarse tras más de 400 aplicaciones ofrecidas desde Google Play Store; por lo que ha vuelto con más fuerza que nunca a golpear en los dispositivos móviles de los millones de usuarios que penan entre la dimensión on line y off line de este comitrágico drama existencial y que en ocasiones se pierden en el páramo desolado que anida detrás de las pantallas en las que diariamente languidece la imagen de cada usuario.

Como suele ser habitual con los malware, una vez que se instala en el móvil procura lograr la forma de obtener todos los permisos para poder llevar a cabo su actividad maliciosa. Esto significa que se las ingeniará para que el propietario del dispositivo le proporcione los permisos para leer notificaciones, SMS, grabar la pantalla, recopilar contactos, llamadas, escribir en el almacenamiento, entre otras tantas estrategias. Llamativamente, este malware se desactiva cuando se detecta que el sistema utiliza idiomas como el ruso, azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko; por lo que es muy probable que sus creadores pertenezcan a algunas de estas regiones.

¿Cómo opera El Padrino?

Este virus malicioso despliega su actividad sobreponiéndose a las aplicaciones verdaderas y de esta forma, genera pantallas de inicio de sesión superpuestas o -en otras palabras- una duplicación ilegal, ilegítima e idéntica que se visualiza en una ventana emergente que muestra al usuario la página de inicio de sesión de la web de su banco, aunque falsificada; maniobra mediante la cual se posibilita que tome los datos que los usuarios ingresan. Ello significa que el usuario vulnerado, creerá estar operando desde la página legítima de su banco cuando en realidad lo va a estar haciendo desde una duplicación idéntica creada con una finalidad delictual.

Ello conduce al usuario a relajar la atención e introducir los datos como si se tratara de la página web oficial de su banco; aunque en realidad le está entregando al hacker sus datos, las credenciales de acceso y -básicamente- esta enviando dicha información a sus servidores.

Una vez que el ciber delincuente obtuvo dicha información, ya nada podrá evitar que entren a las cuentas del usuario y las vacíen. Aunque -vale la pena reiterarlo-, de contar con un sistema de verificación en dos pasos los riesgos se reducirán al mínimo.

La metodología descripta se implementa a través del API -Accessibility aplicación programming interface- de accesibilidad de Android denominada Google Protect, donde logran grabar videos, revisar los clics que hacen las personas, hacer capturas de pantalla, tomar mensajes de texto y rastrear llamadas.

La infraestructura de red del virus cuenta con una dirección de dominio y el control desde otra aplicación; además ha tomado a otro troyano bancario -el abandonado Anubis- como base para mejorar sus herramientas de ataque; habida cuenta que sus desarrolladores modificaron el algoritmo de cifrado de tráfico de Anubis, actualizaron varias funcionalidades como las OTP -contraseñas de un sólo uso o One Time Password- de Google Authenticator y añadieron un módulo independiente para gestionar las conexiones informáticas de redes virtuales; circunstancia claramente reveladora de que el virus posee un muy complejo ADN digital, que le posibilita mejorar sus protocolos y capacidades de comunicación para el control y diseminarse de modo masivo y veloz.

Una vez instalado en un dispositivo Android, el peligroso The Godfather va a solicitar 23 permisos diferentes del dispositivo, abusando de varios de ellos para obtener acceso a los contactos del usuario y al estado del dispositivo, así como a la información relacionada con la cuenta del propietario. También puede escribir o eliminar archivos en el almacenamiento externo y desactivar el candado de teclas y cualquier seguridad de contraseña asociada.

El Padrino puede realizar con éxito transferencias de dinero desde un dispositivo pirateado a través de su capacidad de iniciar llamadas telefónicas mediante Datos de Servicio Suplementario No Estructurados (USSD) que no requieren el uso de la interfaz de usuario del marcador y, por lo tanto, no necesitan de parte del propietario del dispositivo la confirmación de la llamada.

El malware también extrae datos confidenciales del usuario del dispositivo, incluidos los registros de claves de la aplicación, que pueden ser reenviados de vuelta a un servidor de comando y control (C2), que además envía al mafioso digital un comando que desvía cualquier llamada entrante que la víctima reciba a un número proporcionado por el actor de la amenaza.

A continuación, The Godfather cosechará apaciblemente credenciales, creando una ventana de superposición en el método On Accessibility Event e inyectando páginas de phishing HTML a través de un comando separado de C2, cuya URL del servidor es -por lo general- de un canal de Telegram, el conocido servicio de mensajería instantánea. Una vez que completo su actividad maliciosa y materializo su objetivo delictual, The Godfather aguardará a su propio sicari, ya que recibirá un comando killbot de C2 para autoterminarse.

¿A quién ataca?

Entre las plataformas infectadas por este despiadado malware se incluyen 215 bancos internacionales, 94 billeteras de criptomonedas y 110 plataformas de intercambio de criptomonedas en Estados Unidos, Turquía, España, Canadá, Alemania, Francia y el Reino Unido.

La piel que utilizó el malware para filtrarse consistió en el icono y un nombre similares a la aplicación legítima de Google Play denominada MYT Music, que registra más de 10 millones de descargas. De hecho, los actores de amenazas a menudo ocultan malware en Google Play, a pesar de los mejores esfuerzos de Google en los últimos años para mantener las aplicaciones delictivas fuera de su tienda antes de que los usuarios se vean afectados por ella.

Aunque los troyanos bancarios tienden a afectar a los consumidores más que a la empresa, los usuarios empresariales siguen en riesgo porque usan sus dispositivos móviles en el trabajo e incluso pueden tener aplicaciones y datos empresariales almacenados en sus dispositivos. Por esta razón, los usuarios empresariales deben tener especial cuidado de descargar aplicaciones de Internet o abrir cualquier enlace recibido a través de SMS o correos electrónicos entregados a un teléfono móvil.

Si bien Google Play ha eliminado la aplicación, aquellos usuarios que aun la tengan instalada siguen en riesgo.

Profilaxis viral: sugerencias para prevenir una infección

La forma más común de evitar ser infectado por malware de aplicaciones móviles es descargar e instalar software solo desde tiendas de aplicaciones oficiales como Google Play o Apple. Sin embargo, el malware también puede acechar en las tiendas de aplicaciones oficiales, por lo que es muy recomendable practicar la ciberhigiene básica en los dispositivos móviles y las aplicaciones de banca en línea que contribuirán a evitar efectivamente que dicho malware comprometa los dispositivos, incluido el uso de un paquete de software antivirus y seguridad de Internet de buena reputación.

Para protegerse aún más, los usuarios pueden utilizar contraseñas seguras y hacer cumplir la autenticación multifactorial en los dispositivos siempre que sea posible, lo que dificulta que los actores de amenazas se ataquen en sus cuentas.

Los usuarios de dispositivos Android también deben asegurarse de que Google Play Protect esté habilitado en sus dispositivos para una mayor protección de seguridad. Todos los usuarios de dispositivos móviles deberían habilitar funciones de seguridad biométrica como el reconocimiento de huellas dactilares o facial para desbloquear el dispositivo móvil y usar aplicaciones, teniendo especial cuidado al habilitar los permisos en los dispositivos, especialmente si una aplicación no ha sido verificada por un proveedor de renombre.

Ante el avance constante de este tipo de malware los usuarios deben saber muy bien desde dónde descargan las aplicaciones en las que dan datos personales, especialmente las que están relacionadas a bancos. La mejor alternativa es optar -cabe reiterarlo- por las tiendas oficiales de los teléfonos como Google Play Store y App Store, aunque ello no sea suficiente.

Pero también es fundamental mantener el celular actualizado para que tenga todos los parches de seguridad disponibles dispuestos por el fabricante del teléfono y el sistema operativo. Además de reportar cualquier anomalía en el uso de las plataformas bancarias y frenar cualquier proceso ante un reporte de ciberataque.

Medidas de prevención adicionales para evitar intromisiones indeseadas

Además de las medidas de seguridad indicadas, es importante tener en cuenta las siguientes recomendaciones que sirven para proteger la información en cualquier dispositivo móvil: usar contraseñas difíciles de adivinar; sólo descargar aplicaciones de tiendas oficiales como Apple Store o Google Play, no abrir archivos adjuntos, ni aplicaciones extrañas; bloquear el teléfono configurando una clave (PIN) a la tarjeta SIM; cifrar parcialmente o en su totalidad el dispositivo, si el modelo del celular y la versión del sistema operativo lo permiten.

Tener siempre en cuenta que no se debe utilizar SMS como factor de doble autenticación. En su lugar, utilizar algún software de autenticación de contraseñas como Google Authenticator.

Evitar manejar información sensible o entrar a la cuenta bancaria cuando se está conectado a redes públicas. Se recomienda instalar una VPN -Virtual Private Network- en el dispositivo móvil; prestar particular atención a los permisos que se otorgan cuando se instala una app; establecer una contraseña -ya sea numérica, patrones o biométrica- para que el dispositivo salga del modo suspensión; hacer resguardos periódicos de información y mantener actualizado las aplicaciones y el sistema operativo de tu celular; no guardar información -nombre de usuario y contraseña- de cuentas bancarias e instalar un antivirus.

¿Cómo advertir si su dispositivo ha sido infectado?

Alguno de los indicios que permiten sospechar que el celular pudo haber sido hackeado son: la batería se descarga rápidamente ya que las aplicaciones fraudulentas consumen mucha energía; el dispositivo móvil presenta fallas, lentitud, bloqueos o reinicios inesperados; requerimiento raros en cuentas de redes sociales o mails, mediante indicaciones para restablecer contraseña, ubicaciones inusuales de inicio de sesión o verificaciones de registro de nuevas cuentas o llamadas y SMS desconocidos en los registros.

Ocaso

Muy lejos de ser una centennial remake del enfrentamiento entre Don Vito y Sollozo, ocuparse de la ciberhigiene e inocularse anticuerpos digitales para evitar ser infectado por un malware como The Godfather no deja de ser cosa nostra.

De lo contrario, el autobiográfico transcurrir en un inhóspito ecosistema digital, nos sentara con los ojos ciegos bien abiertos a contemplar como los grilletes forjados de bits y silicio que nos visten de presos políticos y reos de la propiedad se desvanecen, mientras participamos del Banquete de Severo Arcángelo y Leopoldo Marechal nos susurra al oído: "Algún día tendré que llamarlo a Usted, Padre de los Piojos y Abuelo de la Nada".

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.