Troyanos de Acceso Remoto (RATs): qué son y cómo pararlos


Diariamente usamos los ordenadores y teléfonos para realizar tareas personales, como las operaciones bancarias online, e introducimos información confidencial o delicada, como los datos de inicio de sesión o contraseñas. Es aquí donde entran en juego los troyanos de acceso remoto.

Las herramientas de acceso remoto son instrumentos muy prácticos utilizados, en principio, por los profesionales de la informática como método eficaz para resolver problemas informáticos a distancia. Pero, por desgracia, los fraudsters también han descubierto el potencial de esta tecnología como método para acceder a los dispositivos de sus víctimas por la “puerta de atrás”.

 

¿Qué son los Troyanos de Acceso Remoto?

Los troyanos de acceso remoto (RAT, del inglés Remote Access Trojans) son aplicaciones que parecen genuinas pero que contienen malware y que pueden descargarse involuntariamente en un dispositivo. Una vez descargados, proporcionan a los cibercriminalesun método para obtener el control administrativo sobre el dispositivo afectado.

 how-to-detect-rat-02

¿Cómo son los RAT?

Los RAT son tremendamente engañosos, porque se esconden hábilmente en archivos que parecen legítimos para infiltrarse en cualquier dispositivo.

Este malware puede descargarse involuntariamente junto con cualquier programa solicitado por el usuario, como juegos o adjuntos en un correo electrónico, y la mayoría de troyanos de acceso remoto no dejarán rastro alguno de su presencia en el dispositivo. Así, pueden espiar discretamente a una persona durante largos periodos de tiempo, lo que significa que un usuario podría estar infectado durante años sin ni siquiera darse cuenta.

Desde el momento en el que un troyano de acceso remoto se infiltra en un ordenador, los cibercriminales pueden obtener acceso remoto al dispositivo o red, vigilarlo o, incluso, controlarlo. Una vez que cuentan con ese acceso, no hay límite al uso que un cibercriminal puede hacer de un ordenador: puede ejercer un control total y, además, anónimo.

Por ejemplo, pueden utilizar un keylogger, o registro de teclado, para vigilar lo que escribe una persona y, así, averiguar sus contraseñas o bien visualizar archivos que contengan información personal o confidencial. Y, cuidado, porque muchos de estos troyanos tienen la capacidad de extraer y encontrar contraseñas guardadas e incluso almacenadas en caché el ordenador.

Quizá lo que resulta más alarmante es que los troyanos de acceso remoto son obviamente un tipo de software espía, por lo que los delincuentes cibernéticos pueden usarlos para activar el micrófono o la cámara web de un dispositivo y de esta forma escuchar o ver al usuario cuando quieran.

Además de dirigirse a la información de identificación personal (PII, por sus siglas en inglés), los delincuentes que utilizan los RAT también tienen la capacidad de borrar por completo un disco duro, descargar contenido ilegal o ejecutar acciones online comprometedoras o ilegales a través del ordenador de otra persona y hacer que parezca que lo ha hecho ella.

También suelen utilizar la red doméstica como servidor proxy para cometer delitos de forma anónima, ya que de ese modo no se les puede localizar.

 

Los troyanos de acceso remoto y el fraude bancario online

Habitualmente, los delincuentes utilizan los RAT para intentar cometer fraudes bancarios por internet, ya que solo necesitan unos conocimientos técnicos mínimos. Tanto es así, que prácticamente cualquier persona podría secuestrar una sesión online con el banco.

Los estafadores suelen utilizar un Rat-in-the-Browser (RitB, o “RAT en el navegador”), un ataque con troyanos de tercera generación que puede actuar junto con un troyano de acceso remoto para secuestrar una sesión.

Este sistema funciona cuando ya se ha descargado el software malicioso (por ejemplo, un RAT) en el dispositivo del usuario y sirve para alertar automáticamente al atacante cuando el usuario legítimo inicia sesión en su cuenta bancaria online.

En ese momento, el atacante puede suspender de forma remota la sesión del usuario, abrir un navegador invisible en el dispositivo de la víctima y luego efectuar una transacción fraudulenta.

Los RitB también pueden facilitar ataques del tipo “Man-in-the-Middle” (MitM, o “intermediario”). Después de iniciar sesión de la forma habitual, el usuario pensará que está interaccionando con el banco.

Es más, el software antifraude del banco también “pensará” que está interaccionando como siempre con el titular de la cuenta. Pero, en todo momento, habrá un atacante situado entre ellos, manipulando lo que ambas partes legítimas ven en cada lado de esa interacción.

Así, por ejemplo, cuando el usuario inicie una transferencia, el atacante podría cambiar los datos de la cuenta a la que va destinada el dinero o, incluso, el valor mismo de la transacción. También podría desviar los fondos a una cuenta mula. Y ni el banco ni el usuario detectarán ningún problema hasta que sea demasiado tarde.

how-to-detect-rat-01

Ejemplos de ataques de tipo “social” con RAT

Lo más común es que se engañe a los usuarios para que se descarguen software malicioso a través de técnicas de ingeniería social. Por ejemplo, los estafadores podrían:

  • enviar un correo electrónico a una víctima desde lo que parecería una empresa conocida y reputada; el mensaje incluiría un enlace o adjunto en el que el usuario haría clic o bien abriría, descargando así el RAT. Este es un ejemplo de ataque de tipo spear-phishing.
  • llamar por teléfono a un usuario pretendiendo ser un representante de su banco y afirmar que necesitan que el cliente descargue una herramienta de acceso remoto y que luego inicie sesión en su banco para que el banco puede realizar una “comprobación de seguridad”. Antes de esto, los estafadores suelen obtener información personal sobre los usuarios que puedan utilizar para convencerles de que la llamada es auténtica.
  • solicitar a víctimas particularmente desprevenidas que apaguen su monitor para realizar una “reinicialización”, mientras el delincuente lleva a cabo la transacción fraudulenta de forma oculta.

 

Cómo cazar a los troyanos de acceso remoto

Del mismo modo en que los fraudsters desarrollan nuevas técnicas para eludir la seguridad de los bancos, las soluciones antifraude deben evolucionar para no quedarse atrás.

La mayoría de soluciones son incapaces de detectar la presencia de los troyanos de acceso remoto porque están basadas en medidas de seguridad tradicionales, como la validación de huellas digitales o la autenticación de dispositivos.

Puesto que los RAT quedan ocultos a la vista dentro del dispositivo legítimo del usuario y, además, sigue siendo el usuario legítimo quien lo opera, los bancos necesitan un planteamiento de seguridad con múltiples niveles si quieren contrarrestar con éxito la acción de los RAT y los RAT-in-the-Browser.

Además, la autenticación en dos pasos actual (requisito incondicional de la nueva directiva de servicios de pago PSD2) ofrece una protección limitada, al menos en lo que se refiere a los RAT.

Por ejemplo, si el banco solicita al atacante una clave de acceso de un solo uso (OTP, del inglés one time passcode) cuando intenta realizar una transacción fraudulenta, este puede utilizar la sesión suspendida del usuario legítimo para obtenerla a través de la propia víctima.

biometria-comportamiento-banca-app-movil

La biometría del comportamiento es ampliamente reconocida como la única prestación de ciberseguridad capaz de detectar y, por tanto, frustrar los ataques de los troyanos de acceso remoto.

El motivo es que, además de validar el dispositivo conocido del usuario, la biometría también analiza el comportamiento y las funciones cognitivas del usuario sin interferir en la propia experiencia del usuario.

Es capaz de establecer de forma dinámica un perfil del usuario que utiliza el dispositivo, mediante algoritmos avanzados de machine learning con el fin de identificar las características únicas de su biometría conductual.

Al aprender estos patrones de comportamiento (detectando anomalías en la trayectoria del ratón, un uso sospechoso del teclado o retrasos en el dispositivo que controla el ordenador), la biometría del comportamiento puede alertar de cualquier cambio inesperado de comportamiento que se produzca en mitad de una sesión, por muy sutil o breve que sea.

Estas claves vitales pueden indicar la posible infiltración de un troyano de acceso remoto o un intento de apropiación de cuenta (ATO, del inglés account takeover).

Publicado por Juan David Castañeda

Over 10 years, Juan David has gained experience in the information security field, both in service provision roles, working for firms such as PwC, and with overall responsibility for the security model in organisations of the likes of Liberty Seguros Colombia and the Sanitas International Organisation. In 2018, he joined buguroo in the region of Latin America and the Caribbean to lead presales tasks that leverage business closures and company growth.


¿Te ha gustado? Comparte en tus comunidades sociales

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo