Por qué los ciberdelincuentes usan archivos comprimidos RAR y ZIP para transportar malware

Superando así, por primera vez en tres años, a la distribución de software malicioso en archivos Office como Microsoft Word, PowerPoint y Excel, pues estos representaron un 32% del total.

Ahora bien, ¿a qué se debe este aumento del uso del ZIP y RAR? Para Jorge Villanueva Bardales, general de brigada del Ejército y socio fundador de la Asociación para la Innovación Tecnológica y Transformación Digital (APITEC) se debe “a que la compresión del archivo permite evadir soluciones tipo proxy, evadir las soluciones de seguridad (...) incluso algunos antivirus no permiten la verificación de los archivos cuando estos se encuentran comprimidos.”

MIRA: Se registró que Windows recibió 5.000 veces más malware que macOS en 2022

Esto quiere decir que los cibercriminales se ven motivados a utilizar este tipo de archivos, principalmente, por la dificultad que tienen los sistemas de seguridad para identificarlos. Villanueva agrega que “el grado de comprensión permite tener un mayor tamaño para la programación del código del malware.”

Debido a estas condiciones, los atacantes han elegido esta vez distribuir el malware en forma comprimida.

Pero, ¿cómo lo cibercriminales logran infectar un archivo? ¿cuáles son las consecuencias para el usuario? ¿cómo se puede reconocer un archivo malicioso y qué se puede hacer para no caer en ese tipo de trampas?

A continuación le damos respuesta a cada una de las interrogantes.

MIRA: Black Hat SEO, la modalidad que usan los cibercriminales para que caigas en páginas falsas

¿Cómo los ciberdelincuentes infectan con malware los archivos comprimidos?

Según señala el estudio realizado por HP, los delincuentes informáticos para la actual campaña de ataque han combinado la utilización de archivos comprimidos con técnicas de contrabando de HTML.

“Esta técnica consiste en ocultar un script malicioso en un archivo adjunto HTML o también puede ser a una página web especialmente diseñada para tal fin”, explica Villanueva.

Una vez que se extraiga y ejecute el archivo, se establecen conexiones maliciosas a sitios falsos.

MIRA: Estas cuatro apps de edición de fotos debes borrarlas inmediatamente (se están robando tu información)

Y las principales amenazas inyectadas son los malware de tipo Emotet, IcedID, Qakbot o Bumblebee, especifica el especialista.

Respecto al medio que utilizan, los cibercriminales, principalmente, realizan el envío de estos archivos a través de correos electrónicos. También lo hacen desde las redes sociales, sitios de software fraudulentos, entre otros.

Para entender mejor la forma en que funciona el modus operandi, tomemos en cuenta el estudio de la empresa tecnológica en el que se describe que las amenazas QakBot y IceID usaban archivos HTML para llevar al usuario a visores de documentos falsos que simulaban ser Adobe. El usuario debía abrir el archivo ZIP para luego introducir una contraseña con el objetivo de descomprimirlo. Y una vez realizada tal acción, el malware ingresaba en el dispositivo sin problemas.

¿A qué consecuencias un usuario se enfrenta si sufrió la infección por malware?

“Todo depende del tipo de malware que se ha logrado insertar, y de la intención del atacante, pueden ser desde simples anuncios sobrecargados, hasta la encriptación de la información, el robo de datos, el ciberespionaje”, responde Villanueva.

Por otro lado, ante la interrogante de que si podemos reconocer o no a un archivo malicioso, él considera que es imposible darse cuenta si no se tiene “alguna herramienta de seguridad licenciada y una cultura de seguridad”.

Pero lo que sí existen son “indicadores que alertan la presencia de malware en los equipos informáticos” como los señalados a continuación:

• Lentitud repentina del equipo
• Aparición constante de ventanas emergentes de publicidad
• Bloqueos con pantallazo azul
• Aumento de la actividad de Internet y uso de recursos
• Cambio de la página de inicio del navegador
• Aparición de extensiones y nuevos elementos

El docente en maestría de Ciberseguridad y Ciberdefensa en el CAEN aclara que aun así no se observe estos indicadores en el equipo, de igual manera se puede estar infectado sin saberlo.

¿Cómo hago para no caer en la trampa del malware?

“La primera regla es siempre desconfiar y usar el sentido común, ante la duda o la más mínima sospecha, no interactuar con mensajes sospechosos; hay que reportarlos”, aconseja el experto.

“Y la segunda regla es utilizar un software de seguridad como el antivirus u otras herramientas endpoint y, sobre todo, mantenerlas actualizadas”. Este ultimo punto también aplica para “el sistema operativo y todo el software que se utilice” porque generalmente mediante las actualizaciones de las aplicaciones se parchan “agujeros de seguridad” que podrían ser aprovechados por los atacantes.

MIRA: Un nuevo troyano llamado ‘El Padrino’ ha atacado a más de 400 apps de bancos y criptomonedas

Por ultimo, Villanueva pone énfasis en acompañar las herramientas con tener una cultura de ciberseguridad donde se debe ser riguroso con algunas acciones como “no dar clic a todo archivo indiscriminadamente, verificar (el archivo) con algunas de las herramientas disponibles mediante un escaneo, verificar su procedencia, el usuario, la IP. De igual manera, no visitar páginas o direcciones que contengan malware, ente otros”, puntualiza.