Un reciente informe de la consultora de ciberseguridad Palo Alto Networks ha puesto en alerta a la región tras revelar la existencia de un nuevo grupo de hackers que usan el phishing para engañar a sus víctimas y lograr que instalen software malicioso en sus sistemas, abriendo la puerta a un robo masivo de información.
La firma de ciberseguridad Palo Alto Networks ha revelado la existencia de un nuevo grupo de ciberdelincuentes, conocido como Phantom Taurus, que ha centrado sus ataques en entidades gubernamentales de América Latina. A través de un informe técnico de su equipo de investigación Unit 42, se detalla la sofisticada metodología que este colectivo utiliza para infiltrarse en las redes de instituciones públicas. Su principal arma es el envío de correos electrónicos de phishing que imitan la identidad de agencias estatales, diseñados para engañar a los empleados y lograr que descarguen un troyano de acceso remoto, que en este caso es el malware Prybar, también conocido como StrifeWater.
La operación de Phantom Taurus se basa en la ingeniería social, una táctica que manipula a las personas para que revelen información o realicen acciones que comprometen su seguridad. Los correos electrónicos fraudulentos enviados por este grupo están cuidadosamente elaborados. «Hemos observado que los correos maliciosos se distribuyen con un falso asunto relacionado con impuestos o regulaciones, y adjuntan un documento señuelo que parece un formulario oficial», explicó Stas Rzhechitskiy, investigador de ciberseguridad en Unit 42 de Palo Alto Networks. Una vez que la víctima abre el archivo, se activa el proceso de infección que despliega el malware Prybar en el sistema de la víctima.
El Prybar es un malware muy peligroso, capaz de evadir la detección de algunos programas de antivirus y de moverse lateralmente dentro de la red. Esto significa que, una vez que el software malicioso está instalado en un solo ordenador, puede propagarse a otros dispositivos conectados a la misma red, permitiendo a los atacantes acceder a una gran cantidad de datos y sistemas. La meta final de los ciberdelincuentes es el robo de información sensible, como documentos clasificados, datos personales de funcionarios y bases de datos que podrían ser vendidas en el mercado negro o usadas para futuras extorsiones.
«Una vez que SE abre el archivo, se activa el proceso de infección que despliega el malware Prybar en el sistema de la víctima».
Si bien la identidad de los autores detrás de Phantom Taurus sigue siendo un misterio, los expertos de Palo Alto Networks sugieren que este grupo podría estar actuando por motivos geopolíticos o financieros. La elección de sus objetivos —entidades gubernamentales en países como México, Brasil y Perú, entre otros—, y el tipo de información que buscan, apuntan a un interés por el espionaje o la recopilación de datos de alto valor.
Para mitigar los riesgos, los especialistas en ciberseguridad recomiendan a las organizaciones gubernamentales y a sus empleados capacitarse en la detección de correos electrónicos de phishing y fortalecer sus protocolos de seguridad. La instalación de firewalls y soluciones de seguridad de última generación, así como la implementación de la autenticación de dos factores, se convierten en medidas cruciales para proteger la información frente a este tipo de amenazas.
La actividad de grupos como Phantom Taurus demuestra que las amenazas cibernéticas están en constante evolución y que los ataques son cada vez más dirigidos y sofisticados. La cooperación internacional y el intercambio de información entre agencias de ciberseguridad son esenciales para identificar y neutralizar a estos ciberdelincuentes, asegurando que la información de los ciudadanos y los gobiernos esté protegida. Es crucial que las entidades no solo inviertan en tecnología, sino también en la capacitación de su personal, ya que el factor humano sigue siendo el eslabón más vulnerable en la cadena de seguridad.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
