La ciberdelincuencia no descansa. Solo en España, los ciberataques aumentaron un 24 % entre 2022 y 2023, superando los 83.000 incidentes de ciberseguridad, según el Balance de Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE). El año pasado, casi 60.000 usuarios de España fueron víctimas de un ciberataque. Y, cada vez más, se basan en una estrategia llamada scareware. Consiste, básicamente, en meter miedo a la víctima para que haga lo que piden los ciberdelincuent profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. es.
La propia víctima hace el trabajo
El scareware es una ciberestafa basada en «un programa malicioso que se hace pasar por otro tipo de programa» lícito que se insta al usuario a descargar e instalar, «haciéndole creer que necesita alguna actualización o algún programa especial para poder visualizar algún contenido concreto al que se quiera acceder», explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación e investigador del grupo K-ryptography and Information Security for Open Networks ( KISON ), del Internet Interdisciplinay Institute ( IN3 ) de la Universitat Oberta de Catalunya (UOC).
En esta peculiar forma de ciberataque, se utiliza a la propia víctima para que haga el trabajo, ya que «voluntariamente» decide instalar el software malicioso que se encargará de contaminar su dispositivo para robarle datos o dinero. «Se considera un ciberataque basado en ingeniería social. Se busca ‘asustar’ a la víctima para que actúe rápido sin tiempo para reflexionar», apunta Albert Jové, profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. «La prisa, las amenazas, cualquier cosa que pueda crear angustia es un síntoma que debe hacernos sospechar. También puede ser al revés, una oferta ‘irresistible’, un premio, etcétera», añade.
En este sentido, en el scareware parece tan importante la parte técnica como la social, lo que aporta veracidad al engaño y facilita que el usuario caiga en sus redes y haga lo que le pidan los ciberdelincuentes. «Es un ataque a la persona, no a los sistemas», subraya Jordi Serra. «El objetivo directo del scareware es engañar a la persona para poder acceder al ordenador al instalar esa solución que proponen como ayuda. Se podría comparar al phishing, que también trata de engañar a las personas; pero, en este caso, con un programa que nos engaña sobre el mismo ordenador para que instalemos, sin darnos cuenta, otro programa malicioso con el que podrán tener acceso al ordenador para después poder extraer datos e incluso acabar cifrándolo», añade.
Ingeniería social para el mal
Al contrario que en otras ciberestafas, donde el software malicioso es el pilar del ataque, en el scareware la pieza más importante, y a la vez el eslabón más débil, es el usuario. «Se trata simplemente de mostrar una pantalla que engañe muy bien para que se crea y cliquemos en ese enlace, lo que hará que se instale el otro programa, en este caso un programa malicioso, directamente en el ordenador», detalla Jordi Serra.
En este sentido, la clave del scareware está en la llamada ‘ingeniería social’, un conjunto de técnicas que explotan vulnerabilidades psicológicas humanas para manejar al usuario a su antojo. Como destaca el artículo de investigación titulado precisamente así, «Ingeniería Social», publicado en la revista InGente Americana el scareware funciona como un programa malicioso que usan los ciberdelincuentes para asustar a las víctimas y hacerles creer que su computador o dispositivo está infectado con un virus al aparecer como ventana emergente, en la cual colocan información sobre cómo eliminar el virus que presenta el equipo. De esta manera, cuando las personas acceden al enlace, ingresan a un sitio web infectado que propicia la instalación del verdadero programa malicioso sin darse cuenta.
«La ingeniería social se basa en la persuasión a la víctima y ganar su confianza para obtener el control de su dispositivo o robarle la información», explica Albert Jové. Eso hace que sean ciberestafas muy difíciles de identificar, ya que aprovechan el desconocimiento del ecosistema digital y lo fusionan con miedos para engañar y robar. «Crean un momento de ansiedad, avisando de que se han encontrado virus en el sistema, que no podemos ver el vídeo que queremos visualizar por falta del visualizador, etc. Intentan crear esa ansiedad con prisas y desconcierto, ya que muchos no conocemos las repercusiones e intentamos acceder a la solución rápida que nos proponen», relata Jordi Serra.
Cómo evitar el scareware
Los estudios coinciden en que España es uno de los países que sufren más ciberataques en el mundo, y está a la cabeza entre los europeos. A eso se suma que, desde 2015, alrededor de un millón de personas son víctimas cada día de un ciberataque de tipo scareware en el mundo, según datos de la Weber State University de Utah, en Estados Unidos. Y en el caso español, el Ministerio del Interior, en el «Informe sobre cibercriminalidad en España de 2023», muestra que el fraude informático es, de largo, el principal delito de esta naturaleza, con cifras que se han duplicado en solo cinco años (2019-2023) y que han pasado de casi 200.000 casos denunciados a más de 425.000, lo que supone el 90,5 % del total.
Para evitar el scareware, lo más aconsejable es no dejarse llevar por el miedo o la urgencia y cerciorarse de que la situación es real antes de instalar ningún programa nuevo. Y, siempre, contar con un sistema de seguridad que proteja el dispositivo y permita crear copias de seguridad para evitar perder información en caso de caer en la trampa. «Tener una copia de los archivos y el contenido que queramos conservar es fundamental, ya sea en discos USB o en la nube, pero nunca tener la copia de este contenido en el propio ordenador o conectada siempre a él. Podemos tener un disco USB, pero lo desconectaremos después de guardar las copias de los ficheros, y lo mismo para la nube», aconseja el profesor Jordi Serra.
La IA, ¿enemiga o aliada?
En paralelo, hay que tener en cuenta que estos ciberataques son cada vez más sofisticados, sobre todo por el papel que puede desempeñar la inteligencia artificial (IA) en ellos. «Se podrán generar ataques más directos y mucho más detallados con el uso de la IA, que puede seleccionar aquellos datos más concretos y efectivos a la hora de identificar a una persona y cómo engañarla. Además, ya podemos generar contenido nuevo, como imágenes o audio específico de una persona, si tenemos suficientes datos o conversaciones como para crear una conversación nueva en directo», advierte Serra. Esto obligará a los usuarios a ser más desconfiados al navegar por internet o a usar dispositivos electrónicos, uno de los consejos de ciberseguridad más efectivos.
Sin embargo, ese uso malicioso de la IA también tendrá que enfrentarse al uso de la inteligencia artificial por la propia ciberseguridad. «La IA ahora es parte del problema, pero ya empieza a ser parte de la solución. La inteligencia artificial puede ser, y de hecho ya lo es, una gran herramienta para identificar esos ataques«, apunta Albert Jové. Eso no significa que los usuarios puedan descuidar su ciberseguridad por creerse mejor protegidos gracias a la IA, pero es un punto de partida para evitar el scareware y reducir el riesgo de sufrir un ciberataque capaz de tumbar empresas o destruir los dispositivos de usuarios engañados.