Tras la muerte del Papa Francisco, y como es habitual en eventos globales de esta naturaleza, los ciberdelincuentes suelen lanzar diversos tipos de campañas maliciosas. Esta táctica no es nueva: los ciberatacantes llevan mucho tiempo aprovechando acontecimientos mundiales importantes, desde el fallecimiento de la Reina Isabel II hasta desastres naturales y crisis globales como la COVID-19, para impulsar estafas, desinformación e infecciones de malware. La curiosidad pública y las reacciones emocionales convierten estos momentos en oportunidades privilegiadas para que los atacantes ataquen.

Suelen comenzar con campañas de desinformación en redes sociales como Instagram, TikTok o Facebook, subiendo imágenes falsas generadas por IA. Estas campañas están diseñadas para captar la atención del usuario, incitándolo a buscar más información a través de motores de búsqueda o a hacer clic en enlaces incrustados en las imágenes o publicaciones. Una vez conectados, los usuarios pueden ser redirigidos a sitios web fraudulentos con diversos fines maliciosos, desde el robo de datos hasta estafas financieras.

En el ejemplo observado, el enlace estaba oculto en un sitio web que promocionaba posibles noticias falsas sobre el Papa Francisco. Al hacer clic en uno de los enlaces, el usuario era redirigido a una página falsa de Google que promocionaba una estafa de tarjetas de regalo, una táctica común para engañar a las personas y conseguir que proporcionen información confidencial o realicen pagos.

En otros sitios web fraudulentos, se ejecutan comandos en segundo plano sin la interacción del usuario. Este tipo de malware recopila información como el nombre del equipo, el sistema operativo, el país, el idioma, etc. El objetivo es recopilar datos detallados de los usuarios para posteriormente lanzar campañas de phishing altamente dirigidas o vender esta información en la Dark Web. Estos datos pueden incluir credenciales de inicio de sesión, información financiera o especificaciones técnicas del dispositivo.

Otra amenaza importante relacionada con este tipo de eventos es el envenenamiento SEO (envenenamiento de la optimización de motores de búsqueda). En este caso, los ciberdelincuentes pagan para posicionar sus sitios maliciosos entre los resultados de búsqueda legítimos, engañando a los usuarios haciéndoles creer que están accediendo a información fiable. Este método facilita la distribución de malware, el robo de credenciales o el secuestro de cookies de sesión, lo que en última instancia permite monetizar el tráfico generado a través de dichos sitios. Por ejemplo, alguien que busca novedades sobre el Papa Francisco podría hacer clic, sin saberlo, en un enlace malicioso que aparece en los primeros resultados de búsqueda. Este problema se ve agravado por el hecho de que muchos de estos dominios no aparecen en las herramientas de inteligencia de reputación. Es posible que se hayan registrado recientemente o hayan permanecido inactivos durante meses sin mostrar ningún comportamiento malicioso, lo que les permite eludir la detección de la mayoría de los sistemas de ciberseguridad. Los atacantes son expertos en el uso de dominios limpios sin vínculos históricos con actividad maliciosa, lo que dificulta la detección de sus campañas.

Tendencias más amplias y perspectivas de expertos
Este enfoque se ajusta a un patrón más amplio conocido como "oportunismo de ciberamenazas", en el que los atacantes aprovechan eventos globales de gran interés para difundir malware o desinformación. Investigaciones de Check Point Research destacan constantemente picos en las campañas de phishing y malware vinculadas a dichos eventos. Durante la pandemia de COVID-19, por ejemplo, Google reportó más de 18 millones de correos electrónicos diarios de malware y phishing relacionados con estafas relacionadas con el coronavirus.

Perspectiva de expertos:
"Los ciberdelincuentes prosperan gracias al caos y la curiosidad", afirma Rafa López, ingeniero de seguridad de correo electrónico de Check Point Software Technologies. "Cada vez que ocurre una noticia importante, observamos un fuerte aumento de las estafas diseñadas para explotar el interés público. La mejor defensa es una combinación de concienciación del usuario y protección de seguridad por capas".

Cómo mantenerse seguro: Recomendaciones de seguridad:
1. Mantenga su navegador y sistema operativo actualizados a las últimas versiones. Los parches de seguridad suelen corregir vulnerabilidades que los atacantes explotan.
2. Utilice herramientas de protección de navegación como Check Point Harmony Browser u otras extensiones de seguridad web que verifican sitios web en tiempo real y bloquean enlaces maliciosos antes de que se carguen.
3. Tenga cuidado con titulares sensacionalistas o contenido viral, especialmente en redes sociales. Si la noticia le parece impactante, compruébela con medios de comunicación de confianza.
4. No haga clic en enlaces de fuentes desconocidas, especialmente en correos electrónicos o publicaciones en redes sociales relacionadas con noticias de última hora. En su lugar, escriba las URL de los sitios web de noticias oficiales directamente en su navegador.
5. Utilice servicios de inteligencia de amenazas como VirusTotal o Check Point ThreatCloud para verificar dominios o archivos sospechosos antes de interactuar con ellos.
6. Considere un software de seguridad avanzado que incluya protección contra phishing, detección de malware y actualizaciones de inteligencia de amenazas para mantener sus dispositivos seguros.

Siguiendo estos pasos, los usuarios pueden reducir significativamente el riesgo de ser víctimas de campañas de desinformación o ciberataques que se aprovechan de eventos globales.

Normalmente comienzan con campañas de desinformación en redes sociales como Instagram, TikTok o Facebook, subiendo imágenes falsas generadas por IA. Este tipo de campañas busca captar la atención del usuario e incitarlo a buscar más información a través de motores de búsqueda o a hacer clic en enlaces incrustados en las imágenes o publicaciones.

Otro caso por ejemplo que vemos aquí estaba oculto dentro de un enlace a un sitio web que difundía posibles noticias falsas sobre el Papa Francisco. Una vez que el usuario accede a uno de los enlaces, se le redirige automáticamente a un sitio web falso de Google que promociona una estafa con tarjetas de regalo.

En otros tipos de sitios web, se lanzan y ejecutan comandos en segundo plano sin la interacción del usuario. Este tipo de malware busca información del usuario, como el nombre del equipo, el sistema operativo, el país, el idioma, etc., con el objetivo de recopilar datos para posteriormente lanzar campañas de phishing dirigidas o vender los datos obtenidos.

Otro problema asociado con este tipo de eventos son las campañas de SEO falsas o SEO Poisoning. En estas, los ciberdelincuentes pagan para posicionar sus enlaces maliciosos entre resultados de búsqueda legítimos y confundir a los usuarios. Estas campañas persiguen diversos objetivos, como distribuir malware, robar credenciales o secuestrar cookies para monetizar posteriormente las visitas a estos sitios web.

“El problema con estas campañas es que los dominios utilizados a menudo no aparecen en las herramientas de inteligencia de amenazas, ya que pueden haber sido adquiridos recientemente o haber permanecido inactivos durante más de seis meses sin realizar actividades maliciosas, lo que les permite pasar desapercibidos para dichas herramientas”, dijo Manuel Rodríguez, Gerente de Ingeniería en NOLA de Check Point Software.

Por lo tanto, se recomienda siempre mantener el navegador actualizado a la última versión y utilizar herramientas de control de navegación que puedan verificar posibles ataques al navegador o intentos de ejecutar o descargar programas maliciosos en tiempo real.