Los grandes eventos deportivos como la Eurocopa, el Mundial de Fútbol y Wimbledon atraen a millones, incluso miles de millones, de espectadores. La victoria de Argentina sobre Francia en la tanda de penaltis del partido final del Mundial de Qatar 2022 alcanzó una audiencia global de 1.500 millones de espectadores.
Y los Juegos Olímpicos, que comienzan a finales de este mes en París, son el mayor acontecimiento deportivo en términos de audiencia: los Juegos Olímpicos de Tokio 2020 han atraído a una audiencia mundial de más de 3.000 millones de espectadores.
Estos eventos constituyen también una gran oportunidad para los ciberdelincuentes. A lo largo de la última década, el número de ciberataques dirigidos a grandes eventos se ha disparado, pasando de 212 millones de ataques documentados en los Juegos de Londres 2012 a la asombrosa cifra de 4.400 millones en los Juegos de Tokio 2020. Estos ataques suelen tener motivos económicos directos, como estafas, fraudes digitales o la obtención de datos valiosos de asistentes, espectadores y patrocinadores. El entusiasmo provoca que los aficionados pasen por alto los riesgos potenciales a la hora de adquirir entradas, organizar el alojamiento o comprar recuerdos, lo que los convierte en blancos fáciles para los ciberdelincuentes.
Otros, desesperados por ver determinados acontecimientos, se dejan seducir por sitios web maliciosos que ofrecen acceso gratuito, para comprometer sus dispositivos o robar sus datos personales. Y teniendo en cuenta que los medios de comunicación de todo el mundo están centrados en el acontecimiento deportivo, los delincuentes movidos por intereses políticos buscan una gran audiencia para su mensaje mediante la caída de un sitio web importante o la desconexión de servicios críticos.
Actores de amenazas apuntando a los Juegos de París 2024
Según un nuevo análisis de FortiGuardLabs basado en inteligencia de amenazas proporcionada por FortiRecon, los Juegos Olímpicos de este año son el objetivo de un número creciente de ciberdelincuentes desde hace más de un año. Utilizando información disponible públicamente y análisis propios, este informe proporciona una visión completa de los ataques planeados, como brechas de terceros, robos de información, phishing y malware, incluyendo ransomware.
FortiGuardLabs ha observado un aumento significativo de los recursos que se están reuniendo con vistas a los Juegos Olímpicos de París, especialmente aquellos dirigidos a usuarios francófonos, agencias del gobierno y empresas francesas y proveedores de infraestructuras franceses.
En particular, desde la segunda mitad de 2023, observamos un aumento de la actividad de la darknet dirigida a Francia. Este aumento del 80% al 90% se ha mantenido constante durante la segunda mitad de 2023 y la primera mitad de 2024. La prevalencia y sofisticación de estas amenazas son un testimonio de la planificación y ejecución de los ciberdelincuentes, con la darknet sirviendo como centro de operaciones para sus actividades.
Un mercado creciente de información personal robada y de actividades maliciosas
Las actividades registradas incluyen la creciente disponibilidad de herramientas y servicios avanzados diseñados para acelerar las violaciones de datos y recopilar información de identificación personal (PII), como nombres completos, fechas de nacimiento, números de identificación del gobierno, direcciones de correo electrónico, números de teléfono, direcciones residenciales y otros.
Por ejemplo, estamos viendo la venta de bases de datos francesas que incluyen información personal sensible, incluida la venta de credenciales robadas y conexiones VPN comprometidas para permitir el acceso no autorizado a redes privadas. También estamos asistiendo a un aumento de los anuncios de kits de phishing y herramientas de exploits personalizados específicamente para los Juegos Olímpicos de París, así como de listas combinadas (una colección de nombres de usuario y contraseñas comprometidos utilizados para ataques automatizados de fuerza bruta) de ciudadanos franceses.
Aumento de la actividad hacktivista
Como Rusia y Bielorrusia no han sido invitadas a los Juegos de este año, también hemos visto un aumento de la actividad hacktivista por parte de grupos prorrusos -como LulzSec, noname057(16), CyberArmyRussiaReborn, Cyber Dragon y Dragonforce- que señalan expresamente que su objetivo son los Juegos Olímpicos. También son frecuentes los grupos de otros países y regiones, como Anonymous Sudan (Sudán), GamesiaTeam (Indonesia), TurkHackTeam (Turquía) y TeamAnonForce (India).
Cuidado con las estafas de phishing y las actividades fraudulentas
- Kits de phishing: Aunque el phishing es quizás la forma más fácil de ataque, muchos ciberdelincuentes poco sofisticados no saben cómo crear o distribuir correos electrónicos de phishing. Los kits de phishing proporcionan a los atacantes novatos una interfaz de usuario sencilla que les ayuda a redactar un correo electrónico convincente, añadir una carga maliciosa, crear un dominio de phishing y conseguir una lista de víctimas potenciales. La suma de servicios de IA generadores de texto también ha eliminado los errores ortográficos, gramaticales y gráficos que permiten a los destinatarios detectar un correo electrónico como malicioso.
El equipo de FortiGuard Labs también ha documentado un número significativo de dominios typosquatting registrados en torno a los Juegos Olímpicos que podrían ser utilizados en campañas de phishing, incluyendo variaciones del nombre (oympics[.]com, olmpics[.]com, olimpics[.]com, y otros). Éstas se combinan con versiones clonadas del sitio web oficial de entradas que te llevan a un sistema de pago en el que no consigues ninguna entrada y tu dinero desaparece. En colaboración con sus socios olímpicos, la Gendarmería Nacional francesa ha identificado 338 sitios web fraudulentos que dicen vender entradas para los Juegos Olímpicos. Según sus datos, ya se han cerrado 51 sitios y 140 han recibido avisos formales de las fuerzas y cuerpos de seguridad.
Del mismo modo, se han detectado varias estafas de lotería con temática de los Juegos Olímpicos, muchas de ellas suplantando a grandes marcas, como Coca-Cola, Microsoft, Google, la Lotería Nacional Turca y el Banco Mundial. Los principales objetivos de estas estafas de lotería son usuarios de Estados Unidos, Japón, Alemania, Francia, Australia, Reino Unido y Eslovaquia.
También hemos observado un aumento de los servicios de codificación para crear sitios web de phishing y los correspondientes paneles en vivo, servicios de SMS masivos para permitir la comunicación masiva y servicios de suplantación de números de teléfono. Estas ofertas pueden facilitar los ataques de suplantación de identidad, difundir información errónea e interrumpir las comunicaciones haciéndose pasar por fuentes de confianza, lo que puede causar importantes problemas operativos y de seguridad durante el evento.
Ladrones de información
El malware que roba información está diseñado para infiltrarse sigilosamente en el ordenador o dispositivo de la víctima y recopilar información confidencial, como credenciales de inicio de sesión, datos de tarjetas de crédito y otros datos personales. Hemos observado que los actores de amenazas están desplegando varios tipos de malware ladrón para infectar los sistemas de los usuarios y obtener acceso no autorizado. Los actores de amenazas y los intermediarios de acceso inicial pueden aprovechar esta información para ejecutar ataques de ransomware, causando daños sustanciales y pérdidas financieras a individuos y organizaciones.
Nuestros datos indican que Raccoon es actualmente el programa de robo de información más activo en Francia, con el 59% de todas las detecciones. Raccoon es un malware como servicio (MaaS) eficaz y barato que se vende en foros de la dark web. Roba contraseñas de autorrelleno del navegador, historial, cookies, tarjetas de crédito, nombres de usuario, contraseñas, monederos de criptomonedas y otros datos confidenciales. Le siguen Lumma (otro MaaS basado en suscripción) con un 21% y Vidar con un 9%.
Conclusión
Además de celebrar el espíritu atlético y deportivo, los Juegos Olímpicos de París 2024 son un objetivo de alto riesgo para las ciberamenazas, atrayendo la atención de ciberdelincuentes, hacktivistas y actores patrocinados por el Estado. Los ciberdelincuentes están aprovechando las estafas de phishing y los esquemas fraudulentos para explotar a los participantes y espectadores desprevenidos.
Las plataformas de venta de entradas falsas, la mercancía fraudulenta y las tácticas de usurpación de identidad amenazan con provocar pérdidas económicas y socavan la confianza del público en las transacciones relacionadas con los eventos. Además, debido a la posición política de Francia y a su influencia internacional, los Juegos Olímpicos de París 2024 son también un objetivo prioritario para grupos con motivaciones políticas.
Prevemos que los grupos de hacktivistas se centrarán en las entidades asociadas con los Juegos Olímpicos de París para interferir en el acontecimiento deportivo, atacando la infraestructura, los medios de comunicación y las organizaciones afiliadas para interrumpir los actos del evento, socavar la credibilidad y amplificar sus mensajes en un escenario global.
Consejos para los viajeros
Las organizaciones e individuos que asistan a los Juegos Olímpicos deben ser conscientes de las ciberamenazas relacionadas con los viajes. Entre ellas se incluyen la mayor probabilidad de interceptación de Wi-Fi públicas y actividades fraudulentas vinculadas a eventos relacionados con los Juegos Olímpicos, incluidos sitios web maliciosos y estafas de phishing. También prevemos un aumento de los ataques dirigidos contra personalidades, incluidos funcionarios del gobierno, altos ejecutivos y responsables clave de la toma de decisiones, por lo que deben tomarse precauciones adicionales.
FortiGuardLabs recomienda encarecidamente instalar protección de endpoints o EDR en todos los dispositivos, tener especial cuidado al conectarse a redes inalámbricas públicas y utilizar servicios SASE para cifrar su tráfico.
Recomendaciones y estrategias de mitigación en las empresas
- Formación y concienciación de empleados y usuarios: lleva a cabo sesiones de formación periódicas para hacer hincapié en los riesgos de los señuelos de ingeniería social relacionados con los Juegos Olímpicos en el período previo y durante los Juegos. La formación debe centrarse en reconocer los correos electrónicos engañosos y los sitios web falsos e insistir en la importancia de informar rápidamente de las actividades sospechosas.
- Campañas de concienciación pública: lanza campañas exhaustivas de concienciación pública para educar a los asistentes y participantes sobre las amenazas a la ciberseguridad. Ofrece orientación para identificar intentos de suplantación de identidad, evitar enlaces sospechosos y denunciar posibles amenazas a las autoridades designadas.
- Protege los datos confidenciales: utiliza herramientas de orquestación, automatización y respuesta de seguridad para detectar y responder rápidamente a actividades inusuales. Mantén copias de seguridad cifradas de los datos críticos almacenados de forma segura fuera de línea para mitigar el impacto de los ataques de ransomware.
- Supervisa la superficie de ataque externa: supervisa y evalúa continuamente la superficie de ataque externa de su infraestructura de TI para identificar vulnerabilidades y riesgos potenciales. Implementa medidas para proteger el acceso al protocolo de escritorio remoto y evitar la explotación de configuraciones erróneas del servidor Web.
- Aplica la autenticación multifactor y políticas de contraseñas sólidas: Implanta la autenticación multifactor en todos los sistemas y aplica una sólida política de contraseñas. Supervisa los canales de la darknet en busca de credenciales comprometidas para proteger de forma proactiva los portales de la organización.
- Protección de los puntos finales de los usuarios: Implementa software antivirus y antimalware en todos los dispositivos para detectar y mitigar los intentos de phishing y las infecciones de malware. Actualiza regularmente el software para protegerse de vulnerabilidades conocidas y desconocidas.
- Aplica la gestión de parches: Mantén actualizados el software y los sistemas operativos aplicando rápidamente los parches de seguridad. Da prioridad a las vulnerabilidades críticas que puedan conducir a la ejecución remota de código o a ataques de denegación de servicio.
- Protección DDoS: Protege la infraestructura con soluciones de prevención DDoS multicapa, incluidos cortafuegos, VPN y filtros antispam. Supervisa el tráfico de red en busca de anomalías que puedan indicar ataques DDoS y tome medidas preventivas.
- Prevén los ataques de ransomware: Aplica medidas proactivas, como actualizaciones periódicas del software, copias de seguridad seguras fuera de línea y formación de los usuarios, para evitar incidentes de ransomware. Utiliza la inteligencia sobre amenazas para supervisar las actividades de la red oscura en busca de posibles amenazas y fugas de datos.
- Prevención de la modificación de sitios web: Despliega cortafuegos de aplicaciones web para filtrar y bloquear el tráfico malicioso, protegiendo contra la modificación de sitios web y los intentos de acceso no autorizado.
- Participa en la caza de amenazas y en la respuesta a las mismas: llevar a cabo sólidas actividades de caza de amenazas basadas en información de cuentas comprometidas. Aísla rápidamente los sistemas infectados y realiza la reimagen del sistema según sea necesario para mitigar las amenazas.
- Aprovecha la inteligencia sobre ciberamenazas (CTI): utiliza la CTI para recopilar datos en tiempo real sobre ciberamenazas emergentes y riesgos potenciales. Supervisa las conversaciones de la darknet en busca de indicadores tempranos de ciberataques y fugas de datos para lograr una respuesta ante incidentes proactiva.
