{"id":17896,"date":"2019-02-21T13:59:55","date_gmt":"2019-02-21T11:59:55","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=17896"},"modified":"2019-11-22T10:56:21","modified_gmt":"2019-11-22T08:56:21","slug":"financial-trojans-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/financial-trojans-2019\/17896\/","title":{"rendered":"El cibercrimen tiene un nuevo objetivo: los contables"},"content":{"rendered":"

Nuestros expertos han descubierto que los cibercriminales se est\u00e1n centrando en las pymes y que les est\u00e1n prestando especial atenci\u00f3n a los contables. Esta elecci\u00f3n es bastante l\u00f3gica, ya que buscan acceso directo a la parte financiera. La manifestaci\u00f3n m\u00e1s reciente de esta tendencia es el aumento de la actividad de troyanos, sobre todo Buhtrap o RTM que, aunque tienen diferentes funciones y formas de expansi\u00f3n, cuentan con el mismo prop\u00f3sito: robar dinero a cuentas de empresas.<\/p>\n

Ambas amenazas son un peligro para las compa\u00f1\u00edas inform\u00e1ticas, las que ofrecen servicios legales y las de producci\u00f3n a menor escala. La explicaci\u00f3n podr\u00eda ser el bajo presupuesto que invierten en seguridad en comparaci\u00f3n con las grandes empresas del sector financiero.<\/p>\n

RTM<\/h2>\n

Normalmente, RTM infecta a las v\u00edctimas mediante correos phishing<\/em> que imitan correspondencia t\u00edpica empresarial (incluyendo frases como “solicitud de devoluci\u00f3n”, “copias de los documentos del \u00faltimo mes” o “solicitud de pago”). La infecci\u00f3n se produce inmediatamente despu\u00e9s de clicar en el enlace o abrir un archivo adjunto, tras la cual los operadores consiguen acceso total al sistema infectado.<\/p>\n

En el 2017, nuestros sistemas registraron 2376 ataques por parte de RTM, frente a los 130000 del 2018. Y, habiendo transcurrido menos de dos meses de este 2019, ya han sido m\u00e1s de 30000 usuarios los que se han enfrentado a este troyano. Por ahora, podemos afirmar que RTM es uno de los troyanos financieros m\u00e1s activos, por lo que, si la tendencia contin\u00faa, superar\u00e1 el r\u00e9cord del a\u00f1o pasado.<\/p>\n

El escenario principal de RTM es Rusia, sin embargo, nuestros expertos creen que pronto cruzar\u00e1 fronteras y atacar\u00e1 a usuarios de otros pa\u00edses.<\/p>\n

Buhtrap<\/h2>\n

El primer encuentro con Buhtrap se registr\u00f3 en el 2014. Por aquella \u00e9poca, era el nombre de un grupo de ciberdelincuentes que robaba dinero de establecimientos financieros en Rusia por valor de, al menos, 150000 d\u00f3lares por golpe. Despu\u00e9s de que se hicieran p\u00fablicos los c\u00f3digos fuente de sus herramientas en el 2016, el nombre de Buhtrap se utiliz\u00f3 para el troyano financiero.<\/p>\n

Buhtrap resurgi\u00f3 a principios del 2017 en la campa\u00f1a TwoBee, donde se utiliz\u00f3 principalmente como medio de entrega de malware<\/em>. En marzo del a\u00f1o pasado, salt\u00f3 a las noticias (literalmente) difundi\u00e9ndose a trav\u00e9s de varios medios de comunicaci\u00f3n importantes en cuyas p\u00e1ginas principales se implantaron scripts <\/em>maliciosos. Estos scripts<\/em> ejecutaron un exploit<\/em> para Internet Explorer en los navegadores de los visitantes.<\/p>\n

Un par de meses despu\u00e9s, en julio, los cibercriminales redujeron su audiencia y se concentraron en un grupo de usuarios en particular: los contables que trabajan en peque\u00f1as y medianas empresas y, por ello, crearon sitios web con informaci\u00f3n relevante para este sector.<\/p>\n

Recordamos este malware<\/em> debido a esta nueva tendencia, que comenz\u00f3 a finales del 2018 y que contin\u00faa hoy en d\u00eda. En total, nuestros sistemas de protecci\u00f3n evitaron m\u00e1s de 5000 intentos de ataques Buhtrap, 250 de ellos desde principios del 2019.<\/p>\n

Al igual que la \u00faltima vez, Buhtrap se est\u00e1 propagando a trav\u00e9s de exploits<\/em> incrustados en medios de noticias. Como es habitual, los usuarios de Internet Explorer se encuentran en el grupo de riesgo. Internet Explorer utiliza un protocolo cifrado para descargar malware<\/em> de los sitios infectados y eso dificulta el an\u00e1lisis y permite que el malware<\/em> evite el aviso de algunas soluciones de seguridad. Y s\u00ed, todav\u00eda utiliza una vulnerabilidad que se revel\u00f3 en el 2018.<\/p>\n

Como resultado de infecci\u00f3n, tanto Buhtrap como RTM proporcionan acceso completo a las estaciones de trabajo comprometidas. Esto permite a los cibercriminales modificar los archivos utilizados para intercambiar datos entre los sistemas de contabilidad y banca. Estos archivos tienen nombres predeterminados y no cuentan con medidas de protecci\u00f3n adicionales, por lo que los atacantes pueden cambiarlos como les plazca. Estimar los da\u00f1os es todo un desaf\u00edo, pero como hemos descubierto, los criminales est\u00e1n desviando fondos en transacciones que no exceden los 15000 d\u00f3lares.<\/p>\n

\u00bfQu\u00e9 puedes hacer?<\/h2>\n

Para proteger tu negocio de tales amenazas, te recomendamos que prestes atenci\u00f3n especial a la protecci\u00f3n de los ordenadores que tengan acceso a sistemas financieros, como los del departamento de contabilidad y administraci\u00f3n. Aunque, evidentemente, el resto de los equipos tambi\u00e9n necesitan protecci\u00f3n. He aqu\u00ed unos cuantos consejos pr\u00e1cticos:<\/p>\n

    \n
  • Instala parches y actualizaciones de seguridad para todo el software<\/em> tan pronto como sea posible.<\/li>\n
  • Proh\u00edbe, en la medida de lo posible, el uso de herramientas de administraci\u00f3n en remoto en los ordenadores del equipo de contabilidad.<\/li>\n
  • Proh\u00edbe la instalaci\u00f3n de programas sin aprobaci\u00f3n.<\/li>\n
  • Mejora la concienciaci\u00f3n de la seguridad general de los empleados que trabajan con la econom\u00eda de la empresa y c\u00e9ntrate en las pr\u00e1cticas antiphishing<\/em>.<\/li>\n
  • Instala una soluci\u00f3n de seguridad proactiva con tecnolog\u00edas de an\u00e1lisis de comportamiento activo como Kaspersky Endpoint Security for Business.<\/li>\n<\/ul>\n\n

     <\/p>\n","protected":false},"excerpt":{"rendered":"

    Hemos detectado un aumento en la actividad de los troyanos que tienen como objetivo a los contables que trabajan en peque\u00f1as y medianas empresas.<\/p>\n","protected":false},"author":2506,"featured_media":17897,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[1329,43,586],"class_list":{"0":"post-17896","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-finanzas","11":"tag-phishing","12":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/financial-trojans-2019\/17896\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/financial-trojans-2019\/15293\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/financial-trojans-2019\/12860\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/financial-trojans-2019\/17232\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/financial-trojans-2019\/15390\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/financial-trojans-2019\/14086\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/financial-trojans-2019\/16940\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/financial-trojans-2019\/22301\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/financial-trojans-2019\/5729\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/financial-trojans-2019\/25690\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/financial-trojans-2019\/11454\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/financial-trojans-2019\/11526\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/financial-trojans-2019\/10378\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/financial-trojans-2019\/18592\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/financial-trojans-2019\/22606\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/financial-trojans-2019\/17991\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/financial-trojans-2019\/22165\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/financial-trojans-2019\/22101\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/finanzas\/","name":"finanzas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=17896"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17896\/revisions"}],"predecessor-version":[{"id":19857,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/17896\/revisions\/19857"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/17897"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=17896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=17896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=17896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}