{"id":28195,"date":"2025-06-07T09:29:27","date_gmt":"2025-06-07T15:29:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28195"},"modified":"2025-06-08T11:20:10","modified_gmt":"2025-06-08T17:20:10","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/trojan-password-manager-keepass-lessons\/28195\/","title":{"rendered":"Lecciones aprendidas del incidente de KeePass con troyanos"},"content":{"rendered":"

Un usuario quer\u00eda proteger sus contrase\u00f1as, pero inadvertidamente dej\u00f3 entrar a los atacantes en su organizaci\u00f3n. Este resultado<\/a> inesperado se ha documentado en una investigaci\u00f3n reciente sobre un ataque de ransomware, un incidente que comenz\u00f3 cuando un empleado decidi\u00f3 descargar el popular administrador de contrase\u00f1as KeePass. Sin embargo, un detalle clave es que visit\u00f3 un sitio web falso. KeePass es un proyecto de c\u00f3digo abierto, por lo que los atacantes no tuvieron problemas para copiarlo, modificarlo y a\u00f1adir funciones maliciosas. Luego, volvieron a compilar la aplicaci\u00f3n y la distribuyeron a trav\u00e9s de sitios web falsos, que promocionaron a trav\u00e9s de sistemas leg\u00edtimos de publicidad en l\u00ednea<\/a>.<\/p>\n

\u00bfDe qu\u00e9 se trataba el KeePass falso?<\/h2>\n

La campa\u00f1a<\/a> maliciosa dur\u00f3 al menos ocho\u00a0meses, a partir de mediados de 2024. Los atacantes crearon sitios web falsos que imitaban el sitio oficial de KeePass y utilizaron publicidad maliciosa<\/a> para redirigir a los usuarios que buscaban KeePass a dominios con nombres convincentes como keeppaswrd, keebass<\/em> y KeePass-download<\/em>.<\/p>\n

Si la v\u00edctima descargara KeePass de un sitio falso, el administrador de contrase\u00f1as funcionar\u00eda como se esperaba, pero tambi\u00e9n guardar\u00eda todas las contrase\u00f1as de la base de datos actualmente abierta en un archivo de texto no cifrado e instalar\u00eda una baliza de Cobalt Strike<\/a> en el sistema. Esta es una herramienta que se puede utilizar tanto para evaluar la seguridad de una organizaci\u00f3n como para realizar ciberataques reales.<\/p>\n

Con Cobalt Strike, los atacantes no solo pudieron robar contrase\u00f1as exportadas, sino tambi\u00e9n usarlas para poner en riesgo sistemas adicionales y, en \u00faltima instancia, cifrar los servidores ESXi de la organizaci\u00f3n.<\/p>\n

Al buscar rastros de este ataque en l\u00ednea, los investigadores descubrieron cinco modificaciones de KeePass diferentes con troyanos. Algunas de estas eran m\u00e1s sencillas: inmediatamente sub\u00edan las contrase\u00f1as robadas al servidor de los atacantes.<\/p>\n

Malware de sigilo avanzado<\/h2>\n

No es nada nuevo introducir malware al dispositivo de una v\u00edctima junto con software leg\u00edtimo<\/a>. Sin embargo, por lo general, los atacantes simplemente a\u00f1aden archivos maliciosos al paquete de instalaci\u00f3n, por lo que las soluciones de seguridad en el equipo (si las hay) los detectan f\u00e1cilmente. El ataque de KeePass falso se planific\u00f3 con mucho m\u00e1s cuidado y se ocult\u00f3 mejor a las herramientas de seguridad.<\/p>\n

Todos los paquetes de instalaci\u00f3n falsos de KeePass se firmaron con una firma digital v\u00e1lida, por lo que no activaban ninguna advertencia de alarma en Windows. Las cinco distribuciones reci\u00e9n descubiertas ten\u00edan certificados emitidos por cuatro empresas de software diferentes. El KeePass leg\u00edtimo est\u00e1 firmado con un certificado diferente, pero pocas personas se molestan en verificar lo que dice la l\u00ednea del editor<\/em> en las advertencias de Windows.<\/p>\n

Las funciones del Troyano estaban ocultas dentro de la l\u00f3gica central de la aplicaci\u00f3n y solo se ejecutaban cuando el usuario abr\u00eda una base de datos de contrase\u00f1as. En otras palabras, la aplicaci\u00f3n primero se iniciar\u00eda como de costumbre, solicitar\u00eda al usuario que seleccione una base de datos e introduzca su contrase\u00f1a maestra, y solo entonces comenzar\u00eda a realizar acciones que los mecanismos de seguridad podr\u00edan considerar sospechosas. Esto dificulta que los entornos de prueba y otras herramientas de an\u00e1lisis que detectan el comportamiento anormal de la aplicaci\u00f3n detecten el ataque.<\/p>\n

No solo KeePass<\/h2>\n

Mientras investigaban sitios web maliciosos que distribu\u00edan versiones de KeePass con troyanos, los investigadores descubrieron sitios relacionados alojados en el mismo dominio. Los sitios anunciaban otro software leg\u00edtimo, incluido el administrador de archivos seguro WinSCP y varias herramientas de criptomonedas. Estos se modificaron en menor medida, y simplemente instalaban un malware conocido llamado Nitrogen Loader en los sistemas de las v\u00edctimas.<\/p>\n

Esto sugiere que el administrador KeePass con troyanos fue creado por corredores de acceso inicial. Estos delincuentes roban contrase\u00f1as y otra informaci\u00f3n confidencial para encontrar puntos de entrada a las redes inform\u00e1ticas corporativas y luego venden el acceso a otros actores maliciosos, generalmente bandas de ransomware.<\/p>\n

Una amenaza para todos<\/h2>\n

Los distribuidores de malware de robo de contrase\u00f1as atacan indiscriminadamente a cualquier usuario desprevenido. Los delincuentes analizan las contrase\u00f1as, los datos financieros u otra informaci\u00f3n valiosa que logran robar, la clasifican en categor\u00edas y venden lo que sea necesario a otros ciberdelincuentes para sus operaciones clandestinas. Los operadores de ransomware compran credenciales para redes corporativas, los estafadores compran datos personales y n\u00fameros de tarjetas bancarias, y los emisores de spam obtienen datos de inicio de sesi\u00f3n para redes sociales o cuentas de juegos.<\/p>\n

Es por eso que el modelo de negocio para los distribuidores ladrones es obtener todo lo que puedan y usar todo tipo de se\u00f1uelos para propagar su malware. Los Troyanos se pueden ocultar dentro de cualquier tipo de software, desde juegos y administradores de contrase\u00f1as hasta aplicaciones especializadas para contadores o arquitectos.<\/p>\n

C\u00f3mo proteger tu ordenador personal<\/h2>\n

Descarga aplicaciones solo del sitio web oficial del proveedor o de las principales tiendas de aplicaciones.<\/p>\n

Presta atenci\u00f3n a las firmas digitales. Cuando inicies un programa que nunca hayas descargado antes, Windows muestra una advertencia con el nombre del titular de la firma digital en el campo Editor<\/em>. Aseg\u00farate de que coincida con la informaci\u00f3n del desarrollador real. En caso de duda, consulta la informaci\u00f3n en el sitio web oficial.<\/p>\n

Ten cuidado con los anuncios de b\u00fasqueda. Cuando busques el nombre de una aplicaci\u00f3n, revisa detenidamente los primeros cuatro o cinco resultados, pero ignora los anuncios. El sitio web oficial del desarrollador suele ser uno de esos resultados. Si no sabes qu\u00e9 resultado conduce al sitio web oficial, es mejor verificar la direcci\u00f3n a trav\u00e9s de las principales tiendas de aplicaciones o incluso en Wikipedia.<\/p>\n

Aseg\u00farate de utilizar un software de seguridad integral, como Kaspersky Premium<\/a>, en todos tus ordenadores y tel\u00e9fonos inteligentes. Esto te proteger\u00e1 de la mayor\u00eda de los tipos de malware y evitar\u00e1 que visites sitios web peligrosos.<\/p>\n

\u00a1No evites los administradores de contrase\u00f1as! Aunque se utiliz\u00f3 un administrador de contrase\u00f1as popular en un ataque sofisticado, la idea de almacenar de forma segura datos importantes en forma cifrada es m\u00e1s relevante que nunca. Las suscripciones a Kaspersky Plus<\/a> y Kaspersky Premium<\/a> incluyen Kaspersky Password Manager<\/a>, que te permite almacenar de forma segura tus credenciales.<\/p>\n

C\u00f3mo proteger a tu organizaci\u00f3n de los ladrones de informaci\u00f3n y los corredores de acceso inicial<\/h2>\n

El uso de credenciales leg\u00edtimas en ataques es una de las t\u00e1cticas m\u00e1s populares entre los ciberdelincuentes. Para dificultar el robo y el uso de cuentas corporativas, sigue los consejos para organizaciones sobre la lucha contra los ladrones de informaci\u00f3n<\/a>.<\/p>\n

Para repeler el software troyano que puede dar a los atacantes acceso directo a tu red, recomendamos adem\u00e1s que tomes las siguientes medidas:<\/p>\n