Cómo protegerse de 'Emotet', el virus diseñado para robar dinero

Tras cinco meses desaparecido, el virus informático 'Emotet' volvió a hacer de las suyas en julio, habiendo atacado hasta la fecha a un 5% de las empresas de todo el mundo. Este 'malware' se infiltra en el sistema y roba información, mientras intenta propagarse por los ordenadores conectados a la misma red.

'Emotet' surgió en 2014 como un 'malware' en un archivo 'JavaScript'. Su objetivo era robar información confidencial y privada, sobre todo bancaria, aunque con el tiempo mostró otros añadidos como el envío de 'spam' y 'malware'. Suele dirigirse a grandes empresas (donde la información a sustraer es valiosa) y su principal forma de propagación es a través de correos fraudulentos.

En los correos con los que comienza la infección de 'Emotet' hay un link o un documento, habitualmente en formato .doc. El texto del mensaje suele advertir de que existe una factura impagada, o de que recibiremos un envío próximamente, instándonos a consultar el archivo adjunto para obtener más información. De un tiempo a esta parte, los delincuentes también recurren al coronavirus como reclamo: el cuerpo del correo habla de cómo evitar la infección o qué hacer en caso de estar en contacto con un caso positivo.

Al abrir el fichero adjunto se reclama permiso para 'Habilitar edición'. Aceptándolo, el usuario desactiva las medidas de seguridad del propio 'Microsoft Office' contra la ejecución de código mediante macros. En otras ocasiones, un 'link' incluido en el correo es el camino utilizado por los delincuentes para comenzar la infección.

El virus infecta el ordenador de dos formas: se instala directamente o utiliza la consola 'PowerShell' de 'Windows' para descargarse de los servidores de comando y control (C&C) de los atacantes. Si utiliza esta última opción, los delincuentes pueden instalar 'malware' adicional como 'Qakbot', un troyano diseñado para robar datos bancarios. Esta capacidad de 'Emotet' de instalar diversos módulos, cada uno con una función, lo hace especialmente peligroso.

Además hablamos de un troyano, lo que abre la puerta del ordenador a otros virus: una infección por 'Emotet' puede ser sólo la primera de muchas. Después de infectar el ordenador, lo conecta a una 'botnet' y lo utiliza para enviar correos de 'spam' con los que seguir propagándose. El problema que han detectado los expertos es que al enviarse a la lista de contactos de un ordenador infectado, 'Emotet' puede hacerse con archivos adjuntos reales, de forma que el destinatario se confía: recibe algo que le resulta familiar de alguien que ya conoce.

Ser cauteloso es la mejor forma de evitar la infección. Nunca hay que abrir los ficheros adjuntos o pinchar en el 'link' de un correo que se haya recibido de una dirección sospechosa o desconocida. Expertos en seguridad como 'Panda Security' o el Instituto Nacional de Ciberseguridad (Incibe) dan algunas claves adicionales para que las empresas eviten la infección por 'Emotet':

■ Desactivar por defecto la ejecución de macros en 'Office': No habilitar una macro en un documento 'Office' a no ser que se esté totalmente seguro de su legitimidad.

■ Mantener los equipos actualizados con los parches más recientes de 'Windows': 'Emotet' es uno de los virus que aprovechan la vulnerabilidad 'EternalBlue'.

■ Reconocer los emails de 'phishing': No descargar ningún archivo del que se tenga la mínima sospecha ni hacer 'clic' en un enlace del que no se esté totalmente seguro.

■ Crear contraseñas robustas y utilizar el doble factor de autenticación en las páginas y servicios que den esta posibilidad: Cuando 'Emotet' infecta un ordenador conectado a una red se intenta extender por ésta utilizando una lista con las contraseñas más comunes.

■ Instalar un solución de ciberseguridad que detecte la infección y la elimine, ya que limpiar el ordenador a mano es bastante difícil.

El Equipo de Respuesta ante Emergencias Informáticas (CERT) de Japón -el equivalente al Incibe español- ha puesto a disposición de cualquier usuario en 'GitHub' una herramienta llamada 'Emocheck'. Para comprobar si el ordenador está infectado, sólo hay que bajarse la versión correspondiente y ejecutarla.