Emotet: La mejor manera de protegerte del troyano

¿Qué es el spyware?

Emotet es un malware que se concibió originalmente como un troyano bancario. Su fin era obtener acceso a dispositivos en otros países y espiar información privada confidencial. Emotet es famoso por su capacidad de engañar a los programas antivirus básicos y esconderse de ellos. Una vez infectado, el malware se propaga como un gusano informático e intenta infiltrarse en otras computadoras de la red.

La principal vía de propagación de Emotet son los correos electrónicos de spam. Dicho correo electrónico contiene un vínculo malicioso o un documento infectado. Si se descarga el documento o se abre el vínculo, se descargará automáticamente más malware en tu computadora. Estos correos electrónicos se han creado para parecer muy auténticos y muchas personas han caído víctimas de Emotet.

Emotet: término y definición

Emotet fue detectado por primera vez en 2014, cuando los clientes de bancos alemanes y austriacos se vieron afectados por este troyano. Emotet había obtenido acceso a los datos de inicio de sesión de los clientes. En los años siguientes, el virus se propagó a escala mundial.

Emotet pasó de ser un troyano bancario a un dropper, lo que significa que descarga programas maliciosos en los dispositivos. Estos son los responsables de los daños reales en el sistema.

En la mayoría de los casos, descargaba los siguientes programas:

Trickster (también conocido como TrickLoader y TrickBot): troyano bancario que intenta capturar los datos de acceso a cuentas bancarias.
Ryuk: troyano de cifrado, también conocido como criptotroyano o ransomware, cifra datos y, por lo tanto, impide que el usuario de la computadora acceda a dichos datos o a todo el sistema.

El objetivo de los ciberdelincuentes que están detrás de Emotet suele ser extorsionar a sus víctimas. Por ejemplo, amenazan con publicar los datos cifrados a los que tienen acceso.

¿A quién se dirige Emotet?

Emotet se dirige a particulares, así como a empresas, organizaciones y autoridades. En 2018, tras infectarse con Emotet, el hospital alemán Fuerstenafeldbruck tuvo que apagar 450 computadoras y desconectarse del centro de control de rescate para tratar de controlar la infección. En septiembre de 2019, el Tribunal de Apelación de Berlín se vio afectado y, en diciembre de 2019, la Universidad de Giessen. La Universidad Médica de Hannover y la administración de la ciudad de Fráncfort del Meno también fueron infectadas por Emotet.

Estos son solo algunos ejemplos de infecciones de Emotet, aunque se estima que la cantidad no revelada de empresas afectadas es mucho mayor. También se supone que muchas empresas infectadas no quisieron denunciar el problema por temor a dañar su reputación.

También es importante tener en cuenta que, si bien al principio los principales blancos de Emotet eran empresas y organizaciones, ahora el troyano apunta más a los particulares.

¿Qué dispositivos corren el riesgo de infectarse con Emotet?

En un principio, las infecciones por Emotet solo se detectaban en las versiones más recientes del sistema operativo Microsoft Windows. Sin embargo, a principios de 2019, se supo que las computadoras fabricadas por Apple también se vieron afectados por Emotet. Los delincuentes atrajeron a los usuarios a una trampa con un correo electrónico falso del servicio de atención al cliente de Apple, que afirmaba que la empresa «restringiría el acceso a tu cuenta» si no respondías. A las víctimas se les dijo que siguieran un vínculo para evitar la desactivación y eliminación de sus servicios de Apple.

¿Cómo se propaga el troyano Emotet?

La principal forma de propagación de Emotet es mediante la así llamada recopilación de Outlook. El troyano lee los correos electrónicos de los usuarios ya afectados y crea un contenido engañosamente real. Estos correos electrónicos parecen legítimos y personales, a diferencia de los correos spam comunes. Emotet envía estos correos electrónicos de phishing a los contactos almacenados, como amigos, familiares y compañeros de trabajo.

La mayoría de las veces, los correos electrónicos contienen un vínculo peligroso o un documento de Word infectado que se supone que el destinatario debe descargar. Siempre se muestra el nombre correcto como remitente. Por lo tanto, los destinatarios creen que es seguro: todo luce como un correo electrónico legítimo. Luego, en la mayoría de los casos, hacen clic en el vínculo peligroso o descargan el archivo adjunto infectado.

Una vez que Emotet obtiene acceso a una red, puede propagarse. En el proceso, intenta descifrar las contraseñas de las cuentas usando el método de la fuerza bruta. Emotet también se ha propagado de otras formas, como a través del exploit EternalBlue y la vulnerabilidad DoublePulsar en Windows, que permitía la instalación de malware sin intervención humana. En 2017, el troyano extorsionador WannaCry usó el exploit EternalBlue para lanzar un potente ciberataque que causó daños devastadores.

¿Quién se encuentra detrás de Emotet?

La Oficina Federal Alemana para la Seguridad de la Información (BSI) cree que

«los desarrolladores de Emotet están subarrendando su software e infraestructura a terceros».

También recurren a malware adicional para perseguir sus propios objetivos. La BSI cree que la motivación de los delincuentes es financiera y, por lo tanto, los consideran delitos cibernéticos, no espionaje. Aun así, nadie parece tener una respuesta clara sobre quién está detrás de Emotet. Existen varios rumores con respecto a los países de origen, pero no hay pruebas fiables.

¿Qué tan peligroso es Emotet?

El Departamento de Seguridad Nacional de los Estados Unidos llegó a la conclusión de que Emotet es un software especialmente costoso con un enorme poder destructivo. Se estima que el costo de la limpieza es de aproximadamente un millón de dólares estadounidenses por incidente. Por ello, Arne Schoenboshm, jefe de la Oficina Federal Alemana para la Seguridad de la Información (BSI), llama a Emotet el «rey del malware».

Emotet es, sin duda, uno de los malware más complejos y peligrosos de la historia. El virus es polimórfico, lo que significa que su código cambia ligeramente cada vez que se accede a él.

Esto dificulta la identificación del virus por parte del software antivirus: muchos de ellos realizan búsquedas basadas en firmas. En febrero de 2020, los investigadores de seguridad de Binary Search descubrieron que Emotet también ataca las redes Wi-Fi. Si un dispositivo infectado está conectado a una red inalámbrica, Emotet analiza todas las redes inalámbricas cercanas. Mediante una lista de contraseñas, el virus intenta acceder a las redes y, de esa manera, infectar otros dispositivos.

A los ciberdelincuentes les gusta explotar los miedos de la población. Por lo tanto, no es de extrañar que también Emotet haya explotado el miedo al coronavirus, que ha estado circulando por todo el mundo desde diciembre de 2019. Los ciberdelincuentes responsables del troyano suelen falsificar los correos electrónicos que se supone que informan sobre el coronavirus y educan a la población. Por lo tanto, si encuentras un correo electrónico de este tipo en tu bandeja de entrada, ten especial cuidado con los archivos adjuntos o vínculos que contenga.

¿Cómo puedo protegerme?

Para protegerse de Emotet y otros troyanos, no basta tener programas antivirus. Detectar el virus polimórfico es solo el primer paso para los usuarios finales. De hecho, no existe una solución que brinde un 100 % de protección contra Emotet u otros troyanos que cambian constantemente. Solo tomando medidas técnicas y empresariales se puede mantener al mínimo el riesgo de infección.

He aquí algunos consejos para sepas cómo protegerte de Emotet:

Mantén tu sistema actualizado mantente siempre informado sobre los avances relacionados con Emotet. Hay varias maneras de hacerlo, como leer el Centro de recursos de Kaspersky o investigar por tu cuenta.
Actualizaciones de seguridad: es esencial que instales lo antes posible las actualizaciones proporcionadas por los fabricantes para cerrar posibles brechas de seguridad. Esto se aplica a los sistemas operativos como Windows y macOS, así como a cualquier programa de aplicaciones, navegador, complemento del navegador, cliente de correo electrónico, programas de Office y PDF.
Protección contra virus: asegúrate de instalar un programa completo de protección contra virus y malware, como Kaspersky Internet Security, y haz que analice tu computadora regularmente en busca de vulnerabilidades. Esto te dará la mejor protección posible contra los últimos virus, spyware, etc.
No descargues archivos adjuntos dudosos de los correos electrónicos ni hagas clic en vínculos sospechosos: si no estás seguro de si un correo electrónico es falso, no corras ningún riesgo y ponte en contacto con el remitente. Si se te pide que permitas que una macro se ejecute en un archivo descargado, no lo hagas bajo ninguna circunstancia y elimina el archivo de inmediato. De esta manera, no le darás a Emotet la oportunidad de entrar en tu computadora.
Realiza copias de seguridad de tus datos a intervalos regulares, en un dispositivo de almacenamiento externo: en caso de infección, siempre tendrás una copia de seguridad a la que recurrir y no perderás todos los datos de tu dispositivo.
Usa solo contraseñas seguras para todos los inicios de sesión (banca en línea, cuenta de correo electrónico, tiendas en línea, etc.). No nos referimos al nombre de tu primer perro, sino a una disposición aleatoria de letras, números y caracteres especiales. Puedes crearlos tú mismo o generarlos mediante diversos programas. Además, hoy en día muchos programas ofrecen la posibilidad de usar autenticación de dos factores.
Extensiones de archivos: haz que tu computadora muestre las extensiones de archivos de manera predeterminada. Esto te permite detectar archivos dudosos, como «Photo123.jpg.exe», que suelen ser programas maliciosos.

¿Cómo puedo eliminar Emotet?

En primer lugar, no te asustes si sospechas que tu computadora puede estar infectada por Emotet. Informa a tu círculo personal acerca de la infección, ya que tus contactos de correo electrónico pueden estar en riesgo.

A continuación, asegúrate de aislar la computadora si está conectada a una red para reducir el riesgo de propagación de Emotet. Depués, cambia todos los datos de inicio de sesión de todas tus cuentas (cuentas de correo electrónico, navegadores web, etc.) Hazlo en un dispositivo independiente que no esté infectado ni conectado a la misma red.

Dado que Emotet es polimórfico (lo que significa que su código cambia ligeramente cada vez que se accede a él), un computadora limpia se puede volver a infectar rápidamente si se conecta a una red infectada. Por lo tanto, debes limpiar todos las computadoras conectadas a la red, una a una. Usa un programa antivirus que te ayude a hacerlo. Otra opción es contactar con un especialista, como tu proveedor de software antivirus para obtener orientación y ayuda.

EmoCheck: ¿es esta herramienta útil contra Emotet?

El CERT (Computer Emergency Response Team o equipo de respuesta ante emergencias informáticas, por sus siglas en inglés) japonés ha publicado una herramienta llamada EmoCheck, que afirma que se puede utilizar para comprobar si un computadora está infectado por Emotet. Pero como Emotet es polimórfico, EmoCheck no puede garantizar al 100 % que tu computadora no esté infectada.

Lo que hace esta herramienta es detectar cadenas de caracteres típicos y te avisa sobre la posible presencia del troyano. Sin embargo, ten en cuenta que debido a la mutabilidad del virus, no hay garantías de que tu computadora esté realmente limpia.

Conclusiones

El troyano Emotet es, en realidad, uno de los malwares más peligrosos de la historia de la ciberseguridad. Cualquier persona puede convertirse en víctima: particulares, empresas e incluso autoridades mundiales, debido a que una vez que el troyano se infiltra en un sistema, vuelve a cargar otro malware que te espía.

Emotet chantajea a muchas de sus víctimas y les exige pagar un rescate para recuperar los datos. Por desgracia, no existe una solución que proporcione un 100 % de protección contra una infección por Emotet. Sin embargo, existen varias medidas que se pueden tomar para reducir el riesgo de infección.

Si sospechas que tu computadora está infectada con Emotet, debes tomar las medidas mencionadas en este artículo para limpiarlo y asegurarte de que estás protegido con una solución antivirus completa, como las soluciones antimalware de Kaspersky.