En la era del trabajo remoto y las comunicaciones virtuales constantes, herramientas como Zoom se han vuelto indispensables en nuestro día a día profesional y personal. Facilitan reuniones, colaboraciones y la conexión a distancia. Sin embargo, como cualquier tecnología popular, también se convierten en un objetivo atractivo para los ciberdelincuentes. Recientemente, ha surgido una preocupante táctica empleada por hackers, que explota una función legítima de Zoom, el control remoto, para llevar a cabo robos de criptomonedas y otros actos maliciosos.

Este elaborada estrategia de ataque subraya la constante evolución de las amenazas cibernéticas y la necesidad imperante de mantenernos informados y vigilantes. Ya no basta con tener un buen antivirus; la clave está en entender cómo operan estos ataques y qué medidas proactivas podemos tomar para protegernos.

El informe que ha puesto de manifiesto esta vulnerabilidad, detallado por sitios especializados en ciberseguridad como BleepingComputer, revela cómo actores maliciosos están manipulando la confianza y la familiaridad de los usuarios con la interfaz de Zoom para lograr acceso no autorizado a sus sistemas y, en particular, a sus activos digitales.

La Trampa Perfecta: Ingeniería Social y una Función de Zoom Mal utilizada

El núcleo de este ataque reside en una combinación insidiosa de ingeniería social sofisticada y el abuso de una característica diseñada para facilitar la colaboración: la función de control remoto de Zoom. Esta herramienta permite, bajo permiso expreso del usuario, que otro participante de la reunión tome el control de su pantalla y opere su teclado y ratón. Su propósito legítimo es, por ejemplo, ayudar a un colega con un problema técnico o colaborar en un documento en tiempo real. Sin embargo, en manos equivocadas, se convierte en una puerta abierta a nuestros sistemas.

Los atacantes suelen iniciar el proceso mediante tácticas de phishing altamente dirigidas. Investigan a sus objetivos, a menudo profesionales del ámbito de las criptomonedas, identificando sus intereses, conexiones y actividades. Luego, se presentan con identidades falsas convincentes, como supuestos inversores de capital de riesgo, periodistas interesados en su trabajo o posibles socios comerciales. Utilizan correos electrónicos y mensajes bien elaborados para concertar una reunión por Zoom, creando una sensación de legitimidad y oportunidad profesional.

Una vez en la videollamada, y bajo un pretexto cuidadosamente construido –como la necesidad de compartir una presentación, mostrar un proyecto en pantalla o resolver un supuesto problema técnico para continuar la conversación–, solicitan compartir pantalla. Hasta aquí, la situación podría parecer normal en muchos entornos de trabajo colaborativo.

El punto de inflexión crucial, y la astucia detrás de este ataque, ocurre cuando el atacante solicita control remoto de la pantalla del objetivo. Aquí es donde la ingeniería social alcanza su punto álgido. Para que la solicitud de control remoto parezca una notificación genuina del sistema de Zoom y no una petición de otro participante, los atacantes cambian su nombre de visualización en la reunión a algo como «Zoom» o similar.

Cuando aparece el cuadro de diálogo solicitando permiso para el control remoto, el usuario desprevenido ve un nombre que asocia con la propia plataforma («Zoom») pidiendo acceso, lo que reduce la probabilidad de sospecha. Acostumbrados a hacer clic rápidamente en las notificaciones para continuar con la reunión, muchos usuarios otorgan el permiso sin detenerse a analizar la solicitud cuidadosamente.

Acceso Concedido: La Puerta Abierta al Robo de Criptoactivos

Una vez que el atacante obtiene el control remoto, tiene rienda suelta sobre el ordenador de la víctima. Aunque la sesión sea remota, para el sistema operativo es como si el propio usuario estuviera manejando el equipo. Es en este momento cuando proceden a ejecutar la parte maliciosa del ataque.

El objetivo principal, según los informes, es la instalación sigilosa de malware. Este software malicioso puede variar, pero comúnmente incluye:

• Infostealers (Ladrones de Información): Diseñados para rastrear y extraer datos sensibles almacenados en el ordenador. Esto incluye contraseñas guardadas en navegadores, claves privadas de billeteras de criptomonedas, archivos importantes, datos de autenticación y otra información confidencial.
• RATs (Troyanos de Acceso Remoto): Permiten al atacante mantener un acceso persistente al sistema de la víctima en el futuro, ejecutar comandos, transferir archivos y monitorear la actividad del usuario sin su conocimiento.

Con el malware instalado, los atacantes pueden operar en segundo plano, recopilando la información necesaria para acceder a las billeteras de criptomonedas de la víctima. Buscan archivos de configuración de billeteras, frases semilla, claves privadas y credenciales de acceso a exchanges de criptomonedas. Una vez que tienen esta información vital, proceden a transferir los fondos a sus propias billeteras, vaciando las cuentas de la víctima en cuestión de minutos.

Lo alarmante de esta técnica es que el ataque puede ejecutarse de forma rápida y discreta una vez obtenido el control remoto. El usuario puede no notar nada inusual durante o inmediatamente después de la reunión de Zoom, descubriendo el robo solo cuando intenta acceder a sus fondos y se da cuenta de que han desaparecido.

¿Quiénes Están Detrás y Por Qué las Criptomonedas?

Si bien los informes iniciales de BleepingComputer señalaban el método de ataque, investigaciones posteriores mencionadas en los resultados de búsqueda apuntan a grupos de ciberdelincuencia sofisticados, como el asociado a Corea del Norte conocido como Elusive Comet, como responsables de campañas que utilizan esta técnica. Estos grupos a menudo tienen motivaciones financieras o están patrocinados por estados, buscando obtener fondos mediante actividades ilícitas.

Las criptomonedas son un objetivo atractivo por varias razones:

• Naturaleza Descentralizada: Las transacciones de criptomonedas pueden ser difíciles de rastrear y revertir una vez completadas, lo que las convierte en un medio ideal para los delincuentes que buscan anonimato.
• Alto Valor: El mercado de criptomonedas mueve grandes sumas de dinero, ofreciendo a los atacantes la posibilidad de obtener ganancias significativas con un solo ataque exitoso.
• Complejidad para el Usuario Promedio: La gestión segura de las criptomonedas y las billeteras digitales a menudo requiere un nivel de conocimiento técnico que no todos los usuarios poseen, lo que puede generar vulnerabilidades explotables.

Dirigirse específicamente a profesionales y ejecutivos del sector de las criptomonedas aumenta la probabilidad de que las víctimas posean cantidades significativas de activos digitales, maximizando el potencial de robo para los atacantes.

El Impacto Va Más Allá de la Pérdida Financiera

Si bien la pérdida de criptomonedas es el resultado más directo y devastador para las víctimas de este ataque, el impacto se extiende mucho más allá de lo financiero. Ser víctima de un ataque de este tipo puede acarrear consecuencias significativas:

• Pérdida de Datos Sensibles: Además de las credenciales de criptomonedas, los atacantes pueden robar otra información personal y profesional sensible almacenada en el ordenador comprometido, lo que podría derivar en robo de identidad u otros delitos.
• Compromiso de Otras Cuentas: Si el infostealer roba contraseñas guardadas, otras cuentas en línea de la víctima (bancarias, correo electrónico, redes sociales) también podrían estar en riesgo.
• Daño a la Reputación: Para profesionales, especialmente aquellos en el espacio de las criptomonedas, ser víctima de un ataque de este tipo puede dañar su reputación profesional y la confianza de sus socios o clientes.
• Impacto Psicológico: La violación de la privacidad, la pérdida de activos y la sensación de haber sido engañado pueden causar estrés significativo y desconfianza en el uso de herramientas digitales.
• Costos de Recuperación: La recuperación de un sistema comprometido puede ser un proceso costoso y que consume mucho tiempo, incluyendo la eliminación del malware, el aseguramiento de cuentas y la posible necesidad de asistencia profesional en ciberseguridad.

Cómo Protegerse: Medidas Clave para Evitar ser la Próxima Víctima

Ante la sofisticación de estos ataques, la concienciación y la implementación de buenas prácticas de seguridad son fundamentales. Aquí presentamos recomendaciones clave para protegerse de este tipo de amenazas:

1. Deshabilite la Función de Control Remoto de Zoom por Defecto:

La medida más directa para mitigar este riesgo es desactivar la función de control remoto en la configuración de su cliente de Zoom si no la utiliza regularmente. Revise la configuración de seguridad de su cuenta de Zoom y asegúrese de que la opción que permite a otros participantes solicitar control remoto esté deshabilitada por defecto. Solo actívela puntualmente si es absolutamente necesario para una reunión específica y desactívela inmediatamente después.

2. Sea Extremadamente Cauteloso con las Solicitudes de Control Remoto:

Si por alguna razón necesita tener habilitada la función de control remoto, esté hipervigilante cuando aparezca una solicitud para tomar el control de su pantalla durante una reunión.

• Verifique el Nombre del Solicitante: No confíe ciegamente en el nombre que aparece en el cuadro de diálogo. Los atacantes pueden falsificarlo fácilmente. Si la solicitud proviene de un nombre genérico como «Zoom» o de alguien que no esperaba que solicitara control, sea extremadamente cauteloso.
• Pregunte Verbalmente: Si recibe una solicitud de control remoto, detenga la reunión y pregunte verbalmente al participante que la solicita por qué la necesita y para qué fin específico. No otorgue el permiso hasta estar completamente seguro y entender la necesidad legítima.
• Comprenda la Implicación: Entienda que otorgar control remoto es, en esencia, darle a otra persona la capacidad de operar su ordenador como si estuviera sentado frente a él. Solo hágalo si confía plenamente en la persona y la situación lo justifica.

3. Mantenga su Software de Zoom Actualizado:

Asegúrese siempre de tener la última versión del cliente de Zoom instalada en su ordenador y dispositivos móviles. Las actualizaciones a menudo incluyen parches de seguridad que corrigen vulnerabilidades conocidas que podrían ser explotadas por los atacantes.

4. Implemente y Use Autenticación de Dos Factores (2FA):

Si bien no protege directamente contra el compromiso inicial a través del control remoto, la 2FA es una capa de seguridad crucial para proteger sus cuentas, incluyendo las de exchanges de criptomonedas y billeteras digitales. Asegúrese de tener la 2FA habilitada en todas las plataformas que lo permitan. Esto dificulta que un atacante acceda a sus fondos incluso si obtiene sus credenciales de inicio de sesión.

5. Sea Escéptico con Solicitudes Inesperadas o Inusuales:

Los ataques de ingeniería social se basan en la sorpresa y la manipulación. Desconfíe de correos electrónicos o mensajes inesperados que soliciten una reunión urgente por Zoom, especialmente si provienen de remitentes desconocidos o con los que no tiene una relación previa. Verifique la identidad del remitente por otros medios si es posible.

6. Configure su Sala de Espera de Zoom:

Utilice la función de «Sala de Espera» en sus reuniones de Zoom. Esto le permite controlar quién entra a la reunión, admitiendo solo a los participantes esperados. Esto ayuda a prevenir que atacantes se unan subrepticiamente a sus reuniones, incluso si de alguna manera obtienen el enlace.

7. Evite Compartir Pantalla con Contenido Sensible Visible:

Antes de compartir su pantalla en una reunión de Zoom, cierre todas las aplicaciones, ventanas y documentos que no sean relevantes para la reunión y que puedan contener información sensible. Minimice la cantidad de información expuesta.

8. Utilice Contraseñas Fuertes y Únicas:

Asegúrese de usar contraseñas robustas y diferentes para cada una de sus cuentas en línea, incluyendo su cuenta de Zoom y, crucialmente, sus billeteras de criptomonedas y exchanges. Considere usar un gestor de contraseñas para administrarlas de forma segura.

9. Concientización Continua sobre Ciberseguridad:

Edúquese a sí mismo y a su equipo sobre las últimas amenazas de ciberseguridad y las tácticas de ingeniería social. Estar informado es una de las defensas más efectivas. Fomente un entorno donde se comparta información sobre posibles amenazas y se promueva la precaución.

10. Considere la Seguridad de sus Activos Criptográficos:

Para aquellos que manejan cantidades significativas de criptomonedas, es fundamental ir más allá de las medidas básicas de seguridad en línea. Considere el uso de billeteras de hardware (cold wallets) para almacenar sus claves privadas fuera de línea, lo que las hace inmunes a los ataques de malware dirigidos a su ordenador. Investigue y comprenda a fondo las opciones de seguridad que ofrecen las plataformas y billeteras que utiliza.

Conclusión: La Vigilancia es Nuestra Mejor Defensa

El abuso de la función de control remoto de Zoom para el robo de criptomonedas es un claro recordatorio de que los ciberdelincuentes adaptan constantemente sus métodos para explotar las herramientas tecnológicas que usamos a diario. Este ataque en particular destaca la eficacia de la ingeniería social cuando se combina con una comprensión profunda de cómo funcionan las plataformas y cómo pueden ser manipuladas sutilmente.

La responsabilidad de la seguridad recae tanto en los proveedores de software como en los usuarios. Si bien empresas como Zoom trabajan continuamente para mejorar sus funciones de seguridad y corregir vulnerabilidades, la precaución y el comportamiento consciente del usuario son líneas de defensa críticas.

Al entender cómo operan estos ataques, ser cautelosos con las solicitudes de acceso, mantener nuestro software actualizado y aplicar principios sólidos de seguridad cibernética, podemos reducir significativamente el riesgo de convertirnos en la próxima víctima. En el mundo digital actual, la vigilancia no es solo una opción, es una necesidad. Proteja sus reuniones de Zoom, proteja sus datos y, sobre todo, proteja sus valiosos activos digitales.