Alerta Roja: La Extensión de Chrome que Vacía Cuentas Bancarias en Silencio
Una nueva y sofisticada amenaza está actuando en América Latina: una extensión de Chrome que se hace pasar por una herramienta de seguridad para robar tus contraseñas y drenar tus cuentas bancarias sin dejar rastro. Los expertos en ciberseguridad han elevado las alertas ante este peligroso timo.
La Trampa: ¿Cómo Engañan a las Víctimas?
El ataque es un ejemplo de ingeniería social muy convincente. Todo comienza con un correo electrónico falso, impecablemente diseñado para parecer una comunicación urgente de tu banco o servicio de pago. Al seguir el enlace e instalar la supuesta “herramienta de seguridad”, los usuarios, sin saberlo, entregan las llaves de su vida financiera a los ciberdelincuentes.
El Enemigo en Tu Navegador: JS/Spy.Banker.CV
Identificada por los investigadores como JS/Spy.Banker.CV, esta extensión es un “infostealer” (ladrón de información) altamente especializado. Su objetivo no es solo espiar, sino sabotear:
- Robo de Credenciales: Captura todo lo que escribes en formularios web, incluyendo usuarios y contraseñas.
- Asalto a Billeteras Digitales: Se enfoca en datos de billeteras virtuales y cuentas de criptomonedas.
- Suplantación de Páginas Bancarias: Manipula los sitios web de tu banco para mostrar formularios falsos idénticos a los legítimos.
- Desvío de Fondos en Tiempo Real: Altera la información de las cuentas destino durante una transferencia, redirigiendo tu dinero directamente a los atacantes.
Mario Micucci , investigador de ESET Latinoamérica, advierte:
“Estamos ante un infostealer diseñado para robar información sensible y modificar datos financieros del usuario. Su alcance y sofisticación muestran que los atacantes buscan beneficios económicos y operan más allá de las fronteras nacionales”.
Una vez instalada, la extensión se activa con cada inicio de Chrome, utilizando scripts maliciosos para recolectar datos, alterar sitios web y comunicarse con los servidores de los delincuentes.
Tu Escudo Digital: Medidas Clave para Protegerte
La defensa contra esta amenaza está en tus manos. Sigue estos pasos esenciales:
- Auditoría de Extensiones: Revisa YA las extensiones instaladas en tu Chrome. Elimina de inmediato cualquier complemento desconocido, sospechoso o que no uses activamente.
- Descargas Solo de Fuentes Oficiales: Nunca instales extensiones desde enlaces en correos o sitios web no verificados. Usa exclusivamente la Chrome Web Store y, aun así, verifica sus reseñas, calificaciones y la fecha de su última actualización.
- Escrutinio de Permisos: Desconfía radicalmente de cualquier extensión que solicite permiso para “Leer y cambiar todos tus datos en los sitios web que visitas”. Es la llave maestra para tu información.
- Actualizaciones Constantes: Mantén tu sistema operativo, navegador y software de seguridad (antivirus, firewall) siempre actualizados. Los parches de seguridad cierran puertas que los atacantes podrían usar.
- Desconfianza Proactiva del Correo: Tu banco nunca te pedirá que instales una extensión por correo. Si recibes un email sospechoso, accede a tu banca escribiendo la URL manualmente en el navegador. Nunca hagas clic en enlaces incluidos.
TU SEGURIDAD
EN BUENAS MANOS
Bundles
Información
¿Tienes alguna duda sobre los servicios? ¡Llámanos!
Heimdall Agency copyright © 2024. Todos los derechos reservados
Nueva ola de ciberataques: advierten sobre posible vulnerabilidad zero-day en firewalls SonicWall
En las últimas semanas, se encendieron las alarmas en el mundo de la ciberseguridad tras detectarse una serie de ataques dirigidos a dispositivos SonicWall. Todo indica que los ciberdelincuentes estarían aprovechando una posible vulnerabilidad zero-day, aún no identificada públicamente, para evadir medidas de seguridad y tomar control de los equipos. ¿Qué pasó y por qué deberíamos prestarle atención? Te lo contamos.
¿Qué se sabe hasta ahora?
El primero en dar la voz de alerta fue el equipo de Google Threat Intelligence Group (GTIG), a mediados de julio. Según explicaron, se detectaron intentos de ingreso a dispositivos SonicWall que ya habían sido completamente parcheados contra vulnerabilidades conocidas. En otras palabras, los equipos estaban al día con las actualizaciones, pero igual fueron vulnerados.
Esto llevó a pensar que los atacantes estarían utilizando credenciales robadas en ataques previos, pero también que podría haber un fallo nuevo, no documentado (lo que se conoce como “zero-day”). Y como si eso fuera poco, no solo obtenían acceso, sino que también desplegaban una herramienta nueva y preocupante.
Un nuevo rootkit en escena: Overstep
En estos ataques se identificó un software malicioso bautizado como Overstep, un backdoor con capacidades de rootkit en modo usuario. Básicamente, este programa modifica el proceso de arranque del dispositivo, lo que le permite mantenerse oculto y robar información sin ser detectado.
El grupo detrás de estos ataques fue identificado como UNC6148, y según GTIG, podrían haber utilizado una vulnerabilidad de ejecución remota de código aún desconocida para instalar Overstep de forma automatizada en los dispositivos afectados.
¿Qué dicen desde SonicWall?
La propia empresa SonicWall reconoció esta nueva ola de actividad maliciosa y confirmó que está investigando si se trata de un problema ya reportado o si, efectivamente, estamos ante una nueva vulnerabilidad.
En simultáneo, compañías de ciberseguridad como Arctic Wolf y Huntress emitieron sus propias alertas. Ambas reportaron incidentes en los que se eludió la autenticación multifactor (MFA), incluso en dispositivos actualizados y con medidas de seguridad activas.
Esto refuerza la hipótesis del zero-day, ya que incluso tras cambiar las credenciales y mantener habilitado el MFA, los equipos seguían siendo vulnerados.
¿Quiénes están en la mira?
La campaña actual parece estar dirigida específicamente a dispositivos SonicWall Gen 7 con el servicio SSLVPN activado. Según Huntress, el firmware afectado sería el 7.2.0-7015 o versiones anteriores, y se trataría, principalmente, de los modelos TZ y NSa-series.
En varios de los casos investigados, los atacantes lograron ingresar a los dispositivos y, en cuestión de horas, avanzaron hacia los controladores de dominio internos de las empresas. Esto muestra no solo una falla en la seguridad del firewall, sino una estrategia ofensiva bien definida y muy peligrosa.
¿Qué medidas recomienda SonicWall?
Ante este panorama, SonicWall publicó una serie de medidas preventivas urgentes para mitigar riesgos mientras avanza la investigación:
- Desactivar temporalmente los servicios SSLVPN.
- Limitar el acceso SSLVPN solo a IPs confiables.
- Habilitar los servicios de seguridad para detectar actividad sospechosa.
- Aplicar MFA (si no se hizo aún).
- Eliminar cuentas sin uso.
- Actualizar todas las contraseñas de forma inmediata.
Además, la empresa solicitó a todos sus clientes mantenerse atentos y actuar rápidamente ante cualquier comportamiento extraño en sus dispositivos.
¿Qué significa esto para las empresas?
Si trabajás en tecnología, sistemas o seguridad informática, este tipo de incidentes no puede pasarse por alto. Aun teniendo los dispositivos actualizados y las medidas de seguridad básicas implementadas, la sofisticación de los ataques sigue superando las defensas tradicionales.
Por eso, más allá de aplicar las mitigaciones sugeridas, es fundamental revisar los protocolos internos, capacitar a los equipos y considerar soluciones de ciberseguridad más robustas.
¿Qué significa esto para las empresas?
Este nuevo caso con SonicWall nos recuerda que nadie está completamente a salvo en el mundo digital. Si tu empresa utiliza este tipo de dispositivos, te recomendamos actuar cuanto antes: actualizar firmware, restringir accesos y consultar con profesionales si necesitás acompañamiento.
La prevención no es opcional. Frente a amenazas cada vez más avanzadas, estar un paso adelante marca la diferencia.
También podría interesarte
TU SEGURIDAD
EN BUENAS MANOS
Bundles
Información
¿Tienes alguna duda sobre los servicios? ¡Llámanos!
Heimdall Agency copyright © 2024. Todos los derechos reservados
Reabren la investigación por el hackeo al PAMI: ¿la punta del iceberg?
En Argentina, los ciberataques ya no son cosa de películas o de grandes corporaciones extranjeras. Esta vez, la mira está puesta sobre el PAMI, uno de los organismos más sensibles del país, y lo que parecía una causa archivada vuelve a escena con una nueva pista: un posible comprador cordobés de la base de datos robada.
¿Qué pasó con el PAMI en 2023?
El 2 de agosto de 2023, alrededor de las 6 de la mañana, los sistemas del Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (PAMI) fueron atacados por un virus ransomware. Al prender las computadoras, apareció un mensaje extorsivo que anunciaba que toda la red había sido comprometida y que los datos podían ser vendidos o filtrados. El mensaje estaba firmado por el grupo de ciberdelincuentes conocido como Rhysida.
El impacto fue inmediato: el servicio a los afiliados quedó paralizado a nivel nacional. Se robaron datos extremadamente sensibles: información de afiliados, carnets digitales, credenciales de acceso a los sistemas, e incluso datos del sistema de recetas electrónicas.
¿Por qué se cerró la causa?
A pesar de la gravedad del hecho, la causa se archivó dos veces. Las investigaciones realizadas por la fiscalía especializada en ciberdelitos (UFECI), la Policía Federal, Prefectura y la Agencia de Acceso a la Información Pública no arrojaron resultados concretos. Incluso se detectó que, al restaurar los sistemas del PAMI, no se preservó la evidencia digital, lo cual complicó el análisis forense. La Interpol tampoco pudo aportar información útil, y la Europol ni siquiera fue consultada formalmente.
La pista cordobesa: un giro inesperado
Sin embargo, todo cambió cuando el Juzgado Federal N.º 1 de Córdoba imputó a Tiziano Palacios Arriondo por la presunta compra, a través de Telegram, de una base de datos robada del PAMI. Según la acusación, habría adquirido información clave para ingresar al sistema de recetas electrónicas y montar un negocio ilegal con ellas.
Lo llamativo es que las fechas de esta compra coinciden con el ciberataque de 2023. Este nuevo dato llevó al actual director ejecutivo del PAMI, Esteban Leguizamo, a solicitar la reapertura de la causa y a constituir al organismo como querellante.
Además, desde el PAMI sostienen que debe investigarse si hubo responsabilidad por parte de los funcionarios de la gestión anterior (cuando el organismo estaba bajo la dirección de Luana Volnovich), ya sea por acción u omisión frente al ataque.
¿Y ahora qué?
La Sala IV de la Cámara Federal de Casación Penal se dividió. El juez Gustavo M. Hornos se mostró en contra de reabrir la causa, argumentando que ya se había demostrado que no era posible identificar a los autores del ataque y que no había pruebas concretas para investigar a funcionarios.
Por otro lado, el juez Javier Carbajo votó a favor de la reapertura, considerando que la pista del comprador cordobés no podía ser ignorada y que aún faltaban diligencias clave, como consultar formalmente a Europol o aprovechar la posibilidad de desencriptar la información secuestrada con ayuda de Interpol.
Finalmente, el juez Mariano Borinsky apoyó esta última postura, lo que inclinó la balanza a favor de continuar con la investigación.
Lo que queda en evidencia
Este caso deja al descubierto varios puntos críticos:
- La falta de protocolos claros de ciberseguridad en organismos estatales.
- La necesidad urgente de mejorar la preservación de evidencia digital ante ataques informáticos.
- El rol creciente de redes como Telegram en el comercio ilegal de datos robados.
- Y por supuesto, la importancia de investigar con profundidad incluso cuando, en apariencia, las pistas se terminan.
En un contexto donde el delito informático avanza a pasos agigantados, no se puede permitir que casos de esta magnitud queden impunes o inconclusos. El acceso ilegal a información de millones de jubilados y pensionados no puede ser solo un incidente más.
¿Se podrá llegar a los responsables reales? ¿Habrá consecuencias para quienes no protegieron el sistema como debían? Por ahora, la causa vuelve a la luz… y hay mucho por esclarecer.
También podría interesarte
TU SEGURIDAD
EN BUENAS MANOS
Bundles
Información
¿Tienes alguna duda sobre los servicios? ¡Llámanos!
Heimdall Agency copyright © 2024. Todos los derechos reservados
Ciberataques en San Juan: dos empresas pierden más de $200 millones por virus troyano
En las últimas horas, dos empresas de San Juan fueron víctimas de ciberataques que dejaron un saldo alarmante: más de 200 millones de pesos robados mediante un malware tipo troyano, una técnica cada vez más común en el mundo del delito informático.
Las firmas afectadas, la distribuidora Rafael Moreno y la clínica El Castaño, sufrieron robos virtuales con una modalidad similar, y todo indica que podrían formar parte de una misma red criminal. La Unidad Fiscal de Delitos Informáticos ya investiga los casos.
¿Cómo fue el mecanismo del ataque?
En ambos hechos, el punto de partida fue la infección del sistema mediante un archivo malicioso, probablemente recibido por correo electrónico. Ese archivo, una vez abierto, instaló un troyano: un virus que permanece oculto hasta detectar una sesión bancaria activa.
Cuando uno de los usuarios ingresó a la cuenta de la empresa, el virus se activó, bloqueó el teclado y el mouse del equipo, y ejecutó un script automatizado que derivó el dinero hacia cuentas bancarias recientemente creadas. Todo el proceso duró apenas unos minutos y se realizó sin intervención humana directa, lo que demuestra el nivel de automatización y sofisticación de este tipo de ataques.
En el caso de Rafael Moreno, la pérdida fue superior a los $100 millones. En la clínica El Castaño, ocurrió exactamente lo mismo, con una cifra similar. En ambos casos, los bancos lograron congelar parcialmente las transferencias, recuperando cerca de $40 millones antes de que el dinero se extrajera por completo.
Un patrón que se repite
Este tipo de maniobras no es nuevo, pero sí está creciendo. Según explicaron las autoridades, los virus troyanos se instalan a través de archivos PDF, imágenes u otros adjuntos, que al abrirse activan el proceso de infección. El troyano queda latente hasta detectar el acceso a plataformas bancarias y, desde ahí, se pone en marcha una serie de movimientos casi imposibles de frenar.
Lo más preocupante es que los fondos robados no terminan en cuentas fácilmente rastreables, sino que son divididos entre múltiples cuentas intermediarias, muchas de ellas registradas a nombre de personas jóvenes o extranjeras, sin vinculación entre sí. Luego, ese dinero suele terminar en criptomonedas, donde la trazabilidad se vuelve prácticamente nula.
¿Y ahora qué? El desafío de investigar este tipo de delitos
Tal como indicó el fiscal Pablo Martín, a cargo de la causa, la mayoría de estos ataques no se originan dentro del país, lo que dificulta la posibilidad de actuar con rapidez. A eso se suma la utilización de identidades falsas o robadas, cuentas muleto y plataformas descentralizadas de intercambio de valor.
Desde el Ministerio Público Fiscal se señaló que los sistemas de los bancos fallaron en sus alertas tempranas y que es urgente incorporar medidas más robustas, como retenciones temporales ante operaciones sospechosas, que den tiempo a las entidades a validar movimientos antes de que se concreten.
Además, se insistió en la necesidad de que las empresas eleven sus estándares de ciberseguridad, especialmente aquellas que manejan grandes volúmenes de dinero o información sensible. Algo tan simple como evitar abrir archivos desde correos desconocidos o usar computadoras exclusivas para operaciones financieras puede marcar la diferencia.
¿Qué podemos aprender de esto?
Estos hechos en San Juan no son casos aislados. Son una nueva señal de alerta para el ecosistema empresarial argentino, que muchas veces subestima los riesgos digitales o no cuenta con los recursos para implementar soluciones preventivas.
Invertir en ciberseguridad es una necesidad operativa. Porque hoy, el daño económico, reputacional y legal que puede ocasionar un ciberataque supera con creces el costo de prevenirlo.
Además, este tipo de delitos pone en evidencia que la seguridad no puede depender solo de los bancos. Es una responsabilidad compartida entre el sector financiero, el Estado y cada organización que accede a sistemas digitales de gestión o pagos.
Una agenda urgente para el sector privado
En un contexto donde cada vez más empresas migran a la digitalización y el trabajo remoto, proteger los accesos, monitorear comportamientos anómalos y formar a los equipos en buenas prácticas de seguridad informática ya no es optativo. Es estratégico.
San Juan fue, esta vez, el epicentro de un caso que podría repetirse en cualquier parte del país. Por eso, es fundamental dejar de mirar estos episodios como excepciones y empezar a entenderlos como parte de una amenaza real y constante, que requiere una respuesta estructural.
También podría interesarte
TU SEGURIDAD
EN BUENAS MANOS
Bundles
Información
¿Tienes alguna duda sobre los servicios? ¡Llámanos!
Heimdall Agency copyright © 2024. Todos los derechos reservados
El mayor ciberataque al sistema financiero de Brasil.
¿Lecciones para toda la región?
En apenas dos horas y media, el sistema financiero brasileño sufrió el ataque cibernético más grave de su historia. Más de 148 millones de dólares fueron sustraídos a través de una maniobra meticulosa, ejecutada con credenciales legítimas obtenidas de forma ilícita. El blanco fue C&M Software, una empresa autorizada por el Banco Central para conectar fintechs y bancos menores con las infraestructuras centrales del sistema bancario nacional.
El ataque impactó directamente sobre las cuentas de reserva, fondos que las instituciones financieras mantienen en el Banco Central para garantizar liquidez y operar con títulos públicos o préstamos. Entre las entidades afectadas están BMP, Banco Paulista y Credsystem, pero aún no hay una lista definitiva. Solo BMP reportó una pérdida cercana a los 100 millones de dólares.
Un eslabón débil: el verdadero punto de entrada
Lo más llamativo no fue el acceso directo a sistemas del Banco Central, sino la explotación de un eslabón más débil en la cadena: un proveedor externo. Se trató de un clásico supply chain attack. Los atacantes no vulneraron al objetivo principal, sino que utilizaron la infraestructura de un tercero (C&M Software) para acceder a los sistemas.
El acceso se logró mediante las credenciales entregadas por un empleado de la empresa, João Nazareno Roque, quien confesó haber recibido unos pocos miles de reales por facilitar el ingreso al sistema y explicar cómo moverse dentro de él.
Este hecho revela una falla técnica, y también una grave vulnerabilidad humana: la manipulación, la ingeniería social y la falta de controles internos sobre accesos privilegiados.
Del fraude al lavado en minutos
Los hackers utilizaron las credenciales para realizar transacciones fraudulentas, que en muchos casos fueron transformadas rápidamente en criptomonedas, lo que dificulta enormemente su rastreo. Según expertos, este nivel de sofisticación podría involucrar tanto a grupos criminales locales como a redes internacionales especializadas en fraudes bancarios.
El Banco Central respondió suspendiendo temporalmente el acceso de las instituciones conectadas a C&M, una medida destinada a contener el impacto inmediato. Sin embargo, lo sucedido ya había generado una pérdida de confianza y una alerta en toda la región.
¿Qué falló y qué debe cambiar?
Expertos en ciberseguridad coinciden en que este incidente revela una fragilidad estructural en el sistema financiero:
- El avance de la digitalización no vino acompañado de un diseño de seguridad a la misma velocidad.
- El uso de terceros para manejar infraestructuras críticas expone a las instituciones a nuevos vectores de riesgo.
- La arquitectura tradicional basada en “perímetros” ya no alcanza: la segmentación de accesos, la autenticación multifactor y la supervisión continua deben ser obligatorias, no recomendaciones.
Para Fred Amaral, director de una fintech de infraestructura abierta, “la seguridad no se resuelve sumando más muros, sino repensando todo el modelo desde el núcleo”. También plantea que el Banco Central debería asumir un rol más activo, como regulador y también como operador tecnológico y punto central de defensa.
Un llamado de atención regional
Aunque este caso ocurrió en Brasil, su impacto trasciende fronteras. Cualquier país con estructuras financieras digitalizadas, fintechs en expansión o tercerización de servicios tecnológicos debería tomar nota. El riesgo de un ataque similar está siempre latente, y la resiliencia pasa por la prevención, la arquitectura y la cooperación.
La adopción de estándares internacionales de seguridad, la creación de CSIRTs más robustos, el intercambio de inteligencia con otros países y la inversión sostenida en cultura de ciberseguridad son pasos urgentes.
¿Qué deja este ataque?
Además del daño económico y reputacional, este ataque deja varias lecciones clave:
- No se trata solo de proteger a los “grandes jugadores”, sino de blindar toda la cadena.
- La confianza digital es tan crítica como la infraestructura misma.
- Y lo más importante: la ciberseguridad ya no es un tema técnico, es una prioridad estratégica para cualquier actor del sistema financiero.
También podría interesarte
TU SEGURIDAD
EN BUENAS MANOS
Bundles
Información
¿Tienes alguna duda sobre los servicios? ¡Llámanos!
Heimdall Agency copyright © 2024. Todos los derechos reservados