Los virus bancarios son troyanos dañinos cuyo objetivo principal es robar información bancaria y confidencial. Los datos robados pueden venderse en la dark web o en mercados negros clandestinos. Expertos de TELMEX-Scitum identificaron, al menos, nueve de estos virus que atacan a los clientes de bancos mexicanos y extranjeros.
Expertos de la empresa mexicana de ciberseguridad aseguran que todos los usuarios de la banca están en riesgo. Sin embargo, identificaron más actividad asociada con algunos sitios bancarios.
Los virus bancarios más comunes en México: ¿cómo operan?
TELMEX-Scitum enlistó a los troyanos bancarios con más actividad en México en las últimas semanas de julio de 2023. Éstos son:
- BlackStink
- Casbaneiro
- Cosmic Banker
- Grandoreiro
- Javali/Ousban
- Red Appaloosa
- Ursa/Mispadu
- Mekotio
- BlackDog
- BlackBelen
Cada uno de estos troyanos, incluyendo a BlackDog y BlackBelen de Red WinterDog, tienen un funcionamiento general. Aunque algunos tienen sus particularidades, éste es el flujo común de cómo operan los virus bancarios observados por SCILabs:
- El cibercriminal envía un correo: el usuario recibe un correo con pretextos relacionados con asuntos bancarios, facturas, recibos de pagos o transferencias.
- El e-mail contiene un archivo malicioso: los correos piden descargar archivos comprimidos que contienen un artefacto malicioso.
- Se descarga un virus: al descargar el artefacto, el troyano bancario se instala en el navegador.
- Tu computadora o celular se infecta: el troyano se inyecta en la memoria del dispositivo con técnicas de evasión antivirus.
- Roban tu información: cuando el usuario entra al sitio de su banco, aparecen ventanas emergentes maliciosas con las que roban su información bancaria y confidencial.
Los usuarios de estos bancos están en riesgo por virus bancarios
Los troyanos bancarios identificados por ScILabs operan tanto en México como en otros países de Latinoamérica y Europa. Éstos son los virus y los bancos que utilizan para engañar a los usuarios, según TELMEX-Scitum:
BlackStink
El virus bancario BlackStink, descubierto en 2022, se distribuye por medio de correos electrónicos de phishing utilizando pretextos relacionados con supuestas facturas. Los clientes de los siguientes bancos son quienes más están en riesgo:
- BBVA
- Santander
- Scotiabank
Casbaneiro
Casbaneiro, presente en México y Brasil, monitorea la actividad de la víctima y le pide introducir su información bancaria y confidencial. Para funcionar, utiliza pretextos relacionados con el envío de un supuesto Curriculum Vitae, y estados de cuenta apócrifos del siguiente banco:
- Citibanamex
Cosmic Banker
Cosmic Banker es un troyano bancario que roba información de los navegadores de internet y de correos electrónicos de Outlook en México y Brasil. Se distribuye utilizando pretextos relacionados con supuestas facturas, comprobantes y recibos de pago por parte de los siguientes bancos:
- Citibanamex
- BanCoppel
- Banca Digital Monex
- Banco Ve Por Más
Grandoreiro
Grandoreiro es de origen brasileño y sus correos contienen pretextos relacionados con multas de tránsito o supuestas facturas en México, Brasil y Costa Rica. Recientemente, ha suplantado a instituciones como la Comisión Federal de Electricidad (CFE), FacturaFiel y los siguientes bancos tanto nacionales como internacionales:
- Citibanamex
- Banco Barclays
- Banco do Brasil
- Banco de Costa Rica
Javali/Ousban
El virus bancario Javali/Ousban utiliza pretextos relacionados con instituciones gubernamentales y supuestas facturas. Tiene presencia en México, Brasil, Chile, Perú, España, y Portugal, robando información a los clientes de estos bancos:
- Santander
- Banco Mercantil
- Banco Sicoob
- Banco Unicre
Red Appaloosa
Red Appaloosa opera en México, Brasil, y Portugal. Sus pretextos tienen que ver con supuestas facturas de instituciones gubernamentales. Los atacantes usan un BOT, que envía la información bancaria robada usando servidores de correos electrónicos de organizaciones previamente comprometidas, tales como los siguientes bancos:
- Banco Azteca
- Banco Inmobiliario Mexicano
- Banco Efisa
- CaixaBank
- Banco de Portugal
Ursa/Mispadu
Este troyano bancario brasileño afecta principalmente a México, Brasil, Perú, y Argentina. En este caso, los pretextos están relacionados con supuestas facturas, devoluciones de pagos, y transferencias. Ataca principalmente a los clientes de estos bancos:
- Banorte
- BanRegio
- Santander
- Citibanamex
¿Qué se sabe de Mekotio, BlackBelen y BlackDog?
Mekotio/Bizarro/Culebra opera en Chile, México, Colombia, Brasil, España e Italia. Este virus roba información cuando la víctima intenta ingresar a sitios bancarios, y su principal característica es que modifica la configuración para que el usuario deba escribir siempre su usuario y contraseña en los formularios de sitios bancarios apócrifos.
Asimismo, BlackBelen y BlackDog, ambos troyanos desarrollados por Red WinterDog, atacan principalmente a los usuarios, haciéndose pasar por el Servicio de Administración Tributaria (SAT) y el Registro Nacional de Población (Renapo).
¿Cómo evitar los virus bancarios?
Estos virus funcionan con correos de phishing, por lo que los expertos de TELMEX-Scitum ofrecen las siguientes recomendaciones:
- Verificar la legitimidad del remitente de cada correo electrónico recibido.
- Confirmar la congruencia del remitente con el contenido del e-mail.
- No abrir enlaces o archivos sospechosos y no proporcionar información personal.
Asimismo, se recomienda tener un software antivirus instalado en el equipo, no almacenar usuarios y contraseñas en los navegadores de internet y mantener el sistema operativo del dispositivo actualizado.
Para evitar virus bancarios, es imprescindible verificar que la URL del sitio bancario que aparece en el navegador corresponda en su totalidad con la página oficial para evitar redirecciones automáticas a portales apócrifos y maliciosos.