Skip to main

Emotet es un malware de computadora que se desarrolló originalmente como un troyano bancario. El objetivo era introducirlo en los dispositivos de otras personas para espiar los datos privados confidenciales. Emotet puede engañar a los programas antivirus comunes y ocultarse de ellos. Una vez que el dispositivo está infectado, el malware se propaga como un gusano informático e intenta infiltrarse en otras computadoras de la red.

La principal forma de propagación de Emotet son los correos electrónicos de spam. En este método de propagación, se envía un mensaje que contiene un enlace malicioso o un documento infectado con macros activadas. Si el usuario descarga el documento o abre el enlace, automáticamente se descargará más malware en su computadora. Los correos electrónicos tienen un aspecto muy auténtico.

El término Emotet

Emotet fue detectado por primera vez en el 2014, cuando los clientes de bancos alemanes y austriacos se vieron afectados por este troyano. Emotet había obtenido acceso a los datos de inicio de sesión de los clientes. En los años siguientes, el malware se extendió por todo el mundo.

Desde entonces, Emotet ha pasado de troyano bancario a dropper, lo que significa que el troyano carga malware. Luego, este malware es el responsable de los daños reales en el sistema. En la mayoría de los casos, están involucrados los siguientes programas:

  • Trickbot: un troyano bancario que intenta acceder a los datos de inicio de sesión para cuentas bancarias.
  • Ryuk: un troyano de cifrado, también conocido como criptotroyano o ransomware, que cifra datos e impide que el usuario del equipo pueda acceder a los datos, o bien bloquea todo el sistema.

El objetivo de los ciberdelincuentes que están detrás de Emotet suele ser extorsionar a sus víctimas para obtener dinero. Por ejemplo, amenazan con publicar los datos cifrados o con no devolverlos nunca. Por lo general, Emotet hace referencia al proceso completo de infección, descarga adicional del malware y su distribución.

¿A quién va dirigido Emotet?

Personas particulares, empresas, organizaciones y autoridades públicas. En el 2018, el centro clínico Fürstenfeldbruck tuvo que apagar 450 computadoras y cerrar sesión en el centro de coordinación de emergencias después de ser infectado con Emotet. En septiembre de 2019, por ejemplo, se vio afectada la Corte de Apelaciones de Berlín (Kammergericht), seguida de la Universidad de Giessen en diciembre del 2019.

La Universidad Médica de Hannover y la administración de la ciudad de Fráncfort del Meno también fueron infectadas por Emotet. Se calcula que la cantidad de empresas afectadas es mucho más alta. Suele darse por hecho que muchas de las empresas infectadas no quieren informar de la infección por temor a que su reputación se vea afectada y puedan sufrir más ataques.

Aunque, al principio, los ataques con Emotet iban dirigidos sobre todo a empresas, en la actualidad se utiliza para atacar a personas particulares.

¿Qué dispositivos corren el riesgo de infectarse con Emotet?

En un principio, las infecciones por Emotet solo se detectaban en las versiones más recientes del sistema operativo Microsoft Windows. No obstante, a principios del 2019, se dio a conocer que los equipos fabricados por Apple también se veían afectados. Los atacantes engañaban a los usuarios con un mensaje de correo electrónico falso del servicio de soporte de Apple, en el que indicaban que la empresa había "restringido su acceso a la cuenta del cliente". El mensaje también pedía a los usuarios que accedieran a un enlace para evitar la desactivación y eliminación de determinados servicios de Apple.

¿Cómo se extiende el troyano Emotet?

La principal forma de propagación de Emotet es mediante la denominada recopilación de Outlook. El troyano lee los correos electrónicos de los usuarios ya afectados y crea contenido auténtico engañoso. Estos correos electrónicos parecen legítimos y personales, a diferencia de los correos de spam comunes. Emotet reenvía estos correos electrónicos de phishing a los contactos guardados, como amigos, familiares, compañeros de trabajo o incluso jefes.

Por lo general, contienen un documento de Word infectado para descargar o un enlace peligroso. Siempre se muestra el nombre correcto como remitente. Los destinatarios se dejan llevar por una falsa sensación de seguridad, ya que parece un mensaje de correo electrónico normal y personal, y tienen más posibilidades de hacer clic en el enlace peligroso o el archivo adjunto infectado.

Cuando tiene acceso a una red, Emotet puede extenderse más. Para ello, intenta utilizar el método de fuerza bruta para descifrar las contraseñas de las cuentas. Emotet también se ha propagado de otras formas, como a través de la falla de seguridad EternalBlue y la vulnerabilidad DoublePulsar en Windows, que permitía la instalación de malware sin intervención humana. En el 2017, el troyano extorsionador WannaCry fue capaz de utilizar el exploit EternalBlue para llevar a cabo un ciberataque grave y causar estragos.

Emotet: destrucción de la infraestructura del malware

A finales de enero del 2021, la oficina del fiscal público general de Fráncfort del Meno, la oficina central encargada de combatir la criminalidad en Internet (CIT), y la Oficina Federal de Investigación Criminal (FCO) anunciaron que habían "tomado el control y destruído" la infrastructura de Emotet como parte de un esfuerzo internacional organizado. En la operación, participaron agencias de seguridad de Alemania, los Países Bajos, Ucrania, Francia y Lituania, así como del Reino Unido, Canadá y Estados Unidos.

Estas agencias afirman que fueron capaces de desactivar más de 100 servidores de la infraestructura de Emotet, 17 de ellos en Alemania. Estos esfuerzos representaron el principio del rastro. Tras recopilar datos y analizarlos, la FCO encontró más servidores en toda Europa.

Según este organismo, se destruyó e inutilizó la infraestructura del malware Emotet. Las autoridades ucranianas se adueñaron de la infraestructura y también de varias computadoras, discos duros, dinero y lingotes de oro. La coordinación de la operación estuvo en manos de Europol y Eurojust, la agencia europea para la cooperación judicial en asustos criminales.

Tomar el control de la infraestructura de Emotet permitió a las autoridades impedir que los criminales tuvieran acceso a los sistemas de las víctimas alemanas. Para evitar que recuperasen el control, las autoridades pusieron en cuarentena el malware en los sistemas de los afectados. Además, ajustaron los parámetros de comunicación del software para que pudiera comunicarse con una infraestructura especialmente configurada con el único fin de conservar evidencia. Durante el proceso, las autoridades obtuvieron información sobre los sistemas de las víctimas afectadas, como las direcciones IP públicas. Estas se transmitieron al BSI.

¿Quién se encuentra detrás de Emotet?

La Oficina Federal de Seguridad de la Información (FIS) considera que "los desarrolladores de Emotet subarrendaron su software e intraestructuras a terceros". También recurren a malware adicional para perseguir sus propios objetivos. El BSI opina que los motivos de los criminales son financieros y que el problema es el cibercrimen y no el espionaje.

Nadie parece saber quién está detrás del malware. Los rumores indican que se originó en Rusia o Europa del Este, pero no hay pruebas claras que lo demuestren.

Emotet: malware altamente destructivo

El Departamento de Seguridad Nacional de los Estados Unidos llegó a la conclusión de que Emotet es un componente de software particularmente costoso con un enorme poder destructivo. Se estima que el costo de la limpieza es de aproximadamente un millón de dólares estadounidenses por incidente. Por eso, Arne Schönbohm, director de la Oficina Federal de Seguridad de la Información (FIS) considera a Emotet como el "rey del malware".

Emotet es, sin duda, uno de los malware más complejos y peligrosos de la historia. El virus es polimórfico, lo que significa que su código cambia ligeramente cada vez que se accede a él. Esto dificulta la identificación del virus por parte del software antivirus, debido a que muchos de ellos realizan búsquedas basadas en firmas. En febrero del 2020, los investigadores de seguridad de Binary Search descubrieron que Emotet también ataca las redes Wi-Fi. Si un dispositivo infectado está conectado a una red inalámbrica, Emotet analiza todas las redes inalámbricas cercanas. Mediante una lista de contraseñas, el malware intenta acceder a las redes y, de esa manera, infectar otros dispositivos.

A los ciberdelincuentes les gusta explotar los miedos de la población. Por lo tanto, no es de extrañar que también Emotet haya explotado el miedo al coronavirus, el cual ha estado circulando por todo el mundo desde diciembre del 2019. Los ciberdelincuentes responsables del troyano suelen enviar mensajes de correo electrónico falsos con datos sobre la COVID-19 para informar a la población. Por lo tanto, si encuentras un correo electrónico de este tipo en tu bandeja de entrada, ten especial cuidado con los archivos adjuntos o enlaces que contenga.

¿Cómo puedo protegerme de Emotet?

Para protegerse de Emotet y otros troyanos, no basta con confiar únicamente en programas antivirus. Después de todo, detectar el malware polimórfico es solo el primero de los problemas para los usuarios finales. En términos simples, no existe ninguna solución que ofrezca protección total contra Emotet o cualquier otro troyano cambiante. El uso de medidas técnicas y organizativas de precaución puede minimizar el riesgo de infección. A continuación encontrarás varias medidas que puedes poner en marcha para protegerte de Emotet:

  • Mantén tu sistema actualizado. Infórmate con regularidad sobre las novedades de Emotet. Para ello, puedes suscribirte al boletín de BSI, al boletín de Kaspersky o llevar a cabo tu propia investigación.
  • Actualizaciones de seguridad: asegúrate de que instalas las actualizaciones proporcionadas por los fabricantes tan pronto como sea posible para eliminar cualquier vulnerabilidad de seguridad. Esto se aplica a los sistemas operativos como Windows y macOS, así como a cualquier programa de aplicaciones, navegador, complemento de navegador, cliente de correo electrónico, programas de Office y PDF.
  • Software antivirus: no olvides instalar un programa antivirus como Kaspersky Internet Security para escanear tu computadora frecuentemente en busca de vulnerabilidades. Esto te dará la mejor protección posible contra lo más reciente en virus, spyware y otras amenazas en línea.
  • No descargues archivos adjuntos dudosos de los correos electrónicos ni hagas clic en enlaces sospechosos. Si no sabes si un correo electrónico podría ser falso, no te arriesgues y comunícate con la persona que lo ha enviado. Si se te pide que ejecutes una macro al descargar un archivo, no lo hagas bajo ningún concepto. En vez de eso, elimina el archivo inmediatamente. De esta manera, no le darás a Emotet la oportunidad de entrar en tu computadora.
  • Copias de seguridad: haz una copia de seguridad de tus datos con frecuencia en un transporte de datos externo. En caso de infección, siempre tendrás una copia de seguridad a la que recurrir y no perderás todos los datos de tu PC.
  • Contraseñas: Usa solo contraseñas seguras para todos los inicios de sesión (banca en línea, cuenta de correo electrónico, comercio en Internet). Es decir, no utilices el nombre de tu primer perro, sino que una disposición aleatoria de letras, números y caracteres especiales. Puedes crearlas tú mismo o usar un programa para generarlas, como los administradores de contraseñas. Además, muchos programas te ofrecen ahora la opción de usar la autenticación de dos factores.
  • Extensiones de archivos: asegúrate de que las extensiones de archivos se muestran en tu computadora de forma predeterminada. Esto te ayudará a reconocer archivos dudosos como "Vacationsnap123.jpg.exe".

¿Cómo puedo eliminar Emotet?

En primer lugar, no entres en pánico si sospechas que tu PC podría estar infectado con Emotet. Informa a los que te rodean sobre la infección, así como a tus contactos de correo electrónico y cualquier dispositivo conectado a la red que pueda estar en peligro.

A continuación, asegúrate de aislar la computadora si está conectada a una red para reducir el riesgo de propagación de Emotet. Después, cambia todos los datos de acceso a tus cuentas, como correo electrónico, navegadores web, etc.

Como el malware Emotet es polimórfico y su código cambia ligeramente cada vez que se accede a él, una computadora limpia puede volver a infectarse en cuanto se conecta a una red infectada. Por lo tanto, debes limpiar todos las computadoras conectadas a la red, de una en una. Usa un programa antivirus que te ayude a hacerlo. También puedes contactar con un especialista, como el proveedor de tu software antivirus.

EmoCheck: ¿es esta herramienta útil contra Emotet?

El CERT (Equipo de respuesta ante emergencias informáticas) japonés ha publicado una herramienta llamada EmoCheck, la cual se puede utilizar para detectar si una computadora está infectada por Emotet. Consejo: Utiliza la herramienta para detectar una posible infección de versiones conocidas de Emotet. No obstante, ten cuidado. Como Emotet es polimórfico, EmoCheck no puede garantizar al 100 % que tu computadora no está infectada. EmoCheck utiliza un método mediante el cual reconoce cadenas de caracteres características y te avisa de la presencia del troyano. No obstante, la capacidad para cambiar que posee el malware significa que no existe ninguna garantía de que tu computadora esté limpia.

Resumen de Emotet

El troyano Emotet es uno de los programas de malware más peligrosos en la historia de la Tecnología de la Información. Todos pueden verse afectados: personas individuales, empresas e incluso autoridades públicas. Una vez que el troyano se infiltra en el sistema, carga otros programas de malware que espían credenciales de acceso y cifran datos. A menudo, las victimas del malware son extorsionadas a realizar pagos de rescates para recuperar sus datos. Por desgracia, no existe una solución que proporcione un 100 % de protección contra una infección por Emotet. Sin embargo, si tomas varias medidas, puedes mantener al mínimo el riesgo de infección. Si sospechas que tu computadora está infectada con Emotet, debes aplicar las medidas antes mencionadas para eliminar a Emotet de tu computadora.

Las siguientes soluciones de seguridad ofrecen protección contra troyanos, virus y ransomware:

Kaspersky Internet Security

Kaspersky Total Security

Kaspersky Security Cloud

Artículos relacionados:

Ransomware LockBit: lo que necesitas saber

Los 10 hackers más famosos de todos los tiempos

El ransomware: qué es, cómo se lo evita, cómo se elimina

¿Qué es Emotet?

El peligroso trojano Emotet mantiene en alerta a los administradores. Descubre cómo reconocer el virus, protegerte de él y eliminarlo de tu computadora.
Kaspersky Logo