La ‘Operación Ghoul’ llega a España

Verónica Sánchez Moreno

130 organizaciones de 30 países han sufrido esta oleada de ciberataques, realizados a través de correos electrónicos de phishing (suplantación de identidad) y malware (software malicioso) basados en un kit de software espía prefabricado.

Las empresas españolas serían unas de las afectadas por la ‘Operación Ghoul’, descubierta por los analistas de Kaspersky Lab y que ha puesto en peligro los datos de más de un centenar de organizaciones de diversos sectores y tamaños de 30 países, entre ellos Pakistán, Emiratos Árabes Unidos, India, Egipto, Reino Unido, Alemania, Arabia Saudí y España. Entre las afectadas se encuentran industrias petroquímicas, energéticas, de tecnología, de construcción, arquitectura, transportes, ingeniería aérea, farmacéuticas y entidades educativas.

Según Kaspersky Lab, esta operación está activa desde marzo de 2015 pero los ataques, que en su mayoría se han producido en Oriente Medio, han aumentado su intensidad hasta convertirse en una amenaza notable a partir del mes julio de este año. La estafa producida se conoce como “spear-phishing”, es decir, se intenta conseguir acceso no autorizado a datos confidenciales de un grupo u organización específico. Los atacantes de la ‘Operación Ghoul’ se hacen pasar por bancos en Oriente Medio que urgen a sus víctimas, que son empleados de alto rango de las compañías, a seguir unas instrucciones de pago. Cuando el empleado de la compañía atacada pulsa el enlace, se descarga un archivo adjunto nocivo que infecta los ordenadores de la organización.

Este malware captura contraseñas, las teclas que se pulsan en el teclado e imágenes de la pantalla, así como las credenciales FTP FileZilla, datos del clipboard y de la cuenta del navegador, información sobre clientes de mensajería, servicios de correo y datos de licencia de algunas aplicaciones. Según los analistas de Kaspersky Lab, se cree que la finalidad de estos ataques es vender datos corporativos de valor para agentes externos que quieran averiguar las estrategias corporativas de sus rivales o robar los avances de propiedades intelectuales. “Las motivaciones de los atacantes parecen ser financieras, ya sea mediante las cuentas bancarias de las víctimas o vendiendo la propiedad intelectual al mejor postor”, ha afirmado Amin Hasbini, investigador de seguridad de Kaspersky Lab.