Especialistas en ciberseguridad advierten sobre una campaña activa del grupo hacker «Water Saci», que mediante archivos maliciosos enviados por mensajería busca infectar dispositivos Android para robar datos financieros. Conozca el modus operandi y las medidas esenciales de protección.
En las últimas semanas, una nueva y sofisticada oleada de ciberataques ha puesto en alerta a los usuarios de WhatsApp en Brasil, con el potencial riesgo de que se extienda por Latinoamérica. Se trata de una campaña del grupo hacker conocido como «Water Saci», que está distribuyendo un troyano bancario denominado RelayNFC, activo desde noviembre. Este malware tiene como objetivo final robar datos de tarjetas de crédito y credenciales bancarias, pudiendo vaciar cuentas en cuestión de segundos.
Modus Operandi: Una Trampa en Archivos «Inofensivos»
El ataque comienza con el envío de un mensaje a través de WhatsApp (o su versión web) que contiene archivos adjuntos con extensiones .PDF o .HTA. Estos mensajes suplantan la identidad de un contacto conocido o se presentan como comunicaciones oficiales, ganando la confianza de la víctima.
- Archivos PDF maliciosos: Suelen solicitar la «actualización de Adobe Reader» para poder visualizarse.
- Archivos HTA (HTML Application): Son aplicaciones de Windows basadas en HTML que, al abrirlas, ejecutan automáticamente código malicioso en segundo plano sin que el usuario lo note.
Al interactuar con estos archivos, se descarga e instala en el dispositivo Android el troyano RelayNFC. Una de sus características más peligrosas es su capacidad para propagarse automáticamente a través de WhatsApp Web, intentando infectar a los contactos de la víctima y ampliando su alcance de forma exponencial.
Funcionamiento del Virus: Un Espía en Tu Teléfono
Una vez instalado, el malware opera de manera sigilosa y con múltiples funcionalidades diseñadas para el fraude:
- Robo de Datos de Tarjetas con NFC: Se hace pasar por una aplicación de seguridad y persuade al usuario para que acerque su tarjeta de crédito o débito al teléfono e ingrese su PIN. Al hacerlo, el virus actúa como un lector NFC fraudulento, capturando toda la información de la banda magnética y el chip.
- Suplantación de Aplicaciones Bancarias: Monitorea constantemente si el usuario abre aplicaciones o sitios web de entidades financieras. Al detectarlos, superpone pantallas falsas idénticas a las legítimas para robar nombres de usuario, contraseñas y claves de seguridad.
- Capacidades de Espionaje: Registra todo lo que se escribe (keylogger), toma capturas de pantalla, simula clics e incluso puede cerrar el navegador para forzar a la víctima a reintentar el acceso y caer en la trampa.
- Persistencia: Está diseñado para mantenerse activo incluso tras reiniciar el dispositivo, lo que dificulta su eliminación.
Cómo Protegerse: Medidas Esenciales
Los especialistas enfatizan que la prevención es la herramienta más efectiva. Recomiendan adoptar los siguientes hábitos de seguridad digital:
- Desconfiar de archivos inesperados: No abra archivos PDF, HTA o de cualquier tipo recibidos por WhatsApp de forma sorpresiva, incluso si provienen de un contacto conocido. Verifique siempre su procedencia mediante otro medio de comunicación.
- Evitar archivos HTA por completo: Esta extensión es poco común en el uso cotidiano y es ampliamente utilizada por ciberdelincuentes. Elimine cualquier mensaje que la contenga.
- Nunca instale apps fuera de la tienda oficial: Evite descargar aplicaciones (APKs) desde enlaces en mensajes o sitios web no confiables. Utilice siempre Google Play Store.
- Mantener activas las protecciones del sistema: Asegúrese de que Google Play Protect esté activado en su dispositivo Android.
- Revisar sesiones de WhatsApp Web: Acceda a WhatsApp en su teléfono, vaya a «Dispositivos vinculados» y cierre cualquier sesión activa que no reconozca.
- Actualizaciones: Mantenga el sistema operativo y todas sus aplicaciones, especialmente WhatsApp, actualizadas a la última versión disponible.
Situación Regional
Si bien la campaña actualmente está focalizada en Brasil y no se han reportado casos masivos en Argentina, los expertos advierten que cuando un método de ataque demuestra ser efectivo en un país, es común que los ciberdelincuentes lo repliquen en otros mercados. Por lo tanto, mantenerse informado y aplicar buenas prácticas de seguridad es fundamental para todos los usuarios de la región.
En un mundo hiperconectado, la prudencia digital es la primera barrera de defensa. Ante la sofisticación creciente del cibercrimen, informarse y adoptar hábitos seguros ya no es una opción, sino una necesidad para proteger nuestro patrimonio y datos personales.
Redacción Diario de Punilla | Fuente: Ámbito