SCAREWARE
Ingenio al servicio del mal
Scareware, la 'ciberestafa del miedo' que busca arrebatarte datos y dinero. Expertos de la UOC explican cómo identificar esos ataques con scareware
La ciberdelincuencia no descansa. Solo en España, los ciberataques aumentaron un 24 % entre 2022 y 2023, superando los 83.000 incidentes de ciberseguridad, según el Balance de Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE). El año pasado, casi 60.000 usuarios de España fueron víctimas de un ciberataque. Y, cada vez más, se basan en una estrategia llamada scareware. Consiste, básicamente, en meter miedo a la víctima para que haga lo que piden los ciberdelincuent profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. es.
La propia víctima hace el trabajo. El scareware es una ciberestafa basada en «un programa malicioso que se hace pasar por otro tipo de programa» lícito que se insta al usuario a descargar e instalar, «haciéndole creer que necesita alguna actualización o algún programa especial para poder visualizar algún contenido concreto al que se quiera acceder», explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación e investigador del grupo K-ryptography and Information Security for Open Networks ( KISON ), del Internet Interdisciplinay Institute ( IN3 ) de la Universitat Oberta de Catalunya (UOC).
En esta peculiar forma de ciberataque, se utiliza a la propia víctima para que haga el trabajo, ya que «voluntariamente» decide instalar el software malicioso que se encargará de contaminar su dispositivo para robarle datos o dinero. «Se considera un ciberataque basado en ingeniería social. Se busca ‘asustar’ a la víctima para que actúe rápido sin tiempo para reflexionar», apunta Albert Jové, profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. «La prisa, las amenazas, cualquier cosa que pueda crear angustia es un síntoma que debe hacernos sospechar. También puede ser al revés, una oferta ‘irresistible’, un premio, etcétera», añade.
En este sentido, en el scareware parece tan importante la parte técnica como la social, lo que aporta veracidad al engaño y facilita que el usuario caiga en sus redes y haga lo que le pidan los ciberdelincuentes. «Es un ataque a la persona, no a los sistemas», subraya Jordi Serra. «El objetivo directo del scareware es engañar a la persona para poder acceder al ordenador al instalar esa solución que proponen como ayuda. Se podría comparar al phishing, que también trata de engañar a las personas; pero, en este caso, con un programa que nos engaña sobre el mismo ordenador para que instalemos, sin darnos cuenta, otro programa malicioso con el que podrán tener acceso al ordenador para después poder extraer datos e incluso acabar cifrándolo», añade.
Es ingeniería social para el mal
Al contrario que en otras ciberestafas, donde el software malicioso es el pilar del ataque, en el scareware la pieza más importante, y a la vez el eslabón más débil, es el usuario. «Se trata simplemente de mostrar una pantalla que engañe muy bien para que se crea y cliquemos en ese enlace, lo que hará que se instale el otro programa, en este caso un programa malicioso, directamente en el ordenador», detalla Jordi Serra.
En este sentido, la clave del scareware está en la llamada ‘ingeniería social’, un conjunto de técnicas que explotan vulnerabilidades psicológicas humanas para manejar al usuario a su antojo. Como destaca el artículo de investigación titulado precisamente así, «Ingeniería Social», publicado en la revista InGente Americana el scareware funciona como un programa malicioso que usan los ciberdelincuentes para asustar a las víctimas y hacerles creer que su computador o dispositivo está infectado con un virus al aparecer como ventana emergente, en la cual colocan información sobre cómo eliminar el virus que presenta el equipo.
De esta manera, cuando las personas acceden al enlace, ingresan a un sitio web infectado que propicia la instalación del verdadero programa malicioso sin darse cuenta.
«La ingeniería social se basa en la persuasión a la víctima y ganar su confianza para obtener el control de su dispositivo o robarle la información», explica Albert Jové. Eso hace que sean ciberestafas muy difíciles de identificar, ya que aprovechan el desconocimiento del ecosistema digital y lo fusionan con miedos para engañar y robar. «Crean un momento de ansiedad, avisando de que se han encontrado virus».