Meta ha compartido algunas de las medidas adoptadas durante el primer trimestre de 2023 para combatir las amenazas detectadas en sus aplicaciones dirigidas a personas y empresas, como las campañas de 'malware' en las que los ciberdelincuentes simulan aplicaciones de ChatGPT o las nueve redes antagónicas detectadas que participan en operaciones de espionaje cibernético.
La compañía tecnológica dirigida por Mark Zuckerberg ha publicado los resultados de su Informe de Seguridad del primer trimestre de este año, en el que ha subrayado la importancia de proteger la seguridad de las personas y empresas que utilizan sus 'apps'.
Para ello, el director de Seguridad de la Información de Meta, Guy Rosen, ha señalado que el enfoque de la empresa ha sido el de reunir equipos que trabajen en «integridad, seguridad, soporte y operaciones» para impulsar la seguridad «de la manera más efectiva posible», rastreando y tomando medidas contra los actores de amenazas «en todo el mundo».
Así, tal y como ha detallado Meta en un comunicado en su web, uno los tipos de ataque que más han destacado durante este periodo han sido las campañas de 'malware' en las que los ciberdelincuentes utilizan temas de moda para llamar la atención de los usuarios como, en este caso, la tecnología de la Inteligencia Artificial (IA) generativa con ChatGPT.
En concreto, la compañía ha indicado que, desde el mes de marzo, los analistas han encontrado alrededor de diez familias distintas de 'malware', cuyo ataque se basaba en suplantar aplicaciones de ChatGPT y herramientas similares. También se identificaron campañas entorno a las estafas criptográficas.
En estas campañas los actores maliciosos creaban extensiones de navegador maliciosas disponibles en tiendas web oficiales que ofrecían las herramientas falsas relacionadas con la IA. Incluso, en algunas ocasiones la extensión incluía funciones de ChatGPT reales, además del 'malware', para ocultarse y evitar levantar sospechas.
Sin embargo, el equipo de investigadores de Meta logró bloquear más de mil extensiones maliciosas de estas campañas de 'malware' para que no fuesen compartidas por los usuarios en sus aplicaciones. Igualmente, la compañía informó sobre estas campañas maliciosas a otras aplicaciones de servicio de intercambios de archivos de la industria para que «también tomasen las medidas adecuadas».
Por otra parte, Meta también ha identificado campañas maliciosas que se basan en expandir la amenaza «a través de tantas plataformas como sea posible» para protegerse contra las medidas de protección de los distintos servicios.
Tal y como ejemplifica Meta, los investigadores han detectado casos en los que las familias de 'malware' aprovechan servicios de aplicaciones como Meta y LinkedIn, navegadores como Chrome, Edge y Firefox, acortadores de enlaces, alojamiento de archivos en la nube como Dropbox y otra serie de servicios para propagar el 'malware'. De esta forma, cuando se detectan, se mezclan en más servicios para «disfrazar» el destino final de los enlaces.
Asimismo, otra de las acciones que llevan a cabo es cambiar sus señuelos a otros temas de moda cuando ya se ha detectado la campaña maliciosa. Es decir, si el ciberdelincuente ha lanzado una campaña simulando una aplicación de ChatGPT y esta campaña es detectada, cambia el señuelo a otras como Bard de Google para continuar pasando desapercibido.
Meta asegura que comparte sus descubrimientos con otras empresas de la industria para ayudar a defender el sector. «Los conocimientos que obtenemos de esta investigación ayudan a impulsar el desarrollo continuo de productos para proteger a las personas y las empresas», sentencia la tecnológica.
De hecho, otro de los proyectos que Meta está poniendo en marcha es el soporte para empresas afectadas por 'malware', de forma que puedan recibir ayuda sobre cómo detenerlo.
Redes de ciberespionaje
Dentro del Informe de Seguridad del primer trimestre de este año, Meta también ha compartido la detección de nueve redes adversarias que se dedicaban a lanzar ataques contra la seguridad de los usuarios y empresas con ciberespionaje y operaciones de influencia encubierta.
Según ha detallado la compañía, seis de estas redes llevaban a cabo un comportamiento inauténtico coordinado (CIB). Es decir, se trata una serie de cuentas personales reales, que pueden estar automatizadas o no, con las que se expanden diversas acciones coordinadas a distancia.
Estas redes tienen su origen en Estados Unidos, Venezuela, Irán, China, Georgia, Burkina Faso y Togo y, tal y como ha registrado Meta, estaban dirigidas, principalmente, a las personas que estaban fuera de sus países. En estas cuentas, los actores maliciosos simulaban la dirección de entidades falsas como medios de comunicación u ONG en aplicaciones como Facebook, Telegram, YouTube o TikTok, entre otras.
Con todo ello, Meta asegura que su equipo de investigadores eliminó «la mayoría de estas redes» antes de que pudieran generar «audiencias auténticas» engañadas por las cuentas CIB. Además, la mitad de estas operaciones de redes de CIB estaban vinculadas a entidades privadas, como una empresa de marketing estadounidense y una consultoría de marketing político en la República Centroafricana, según señala Meta.
Las otras tres redes adversarias se dedicaban a operaciones de espionaje cibernético en el sur de Asia. Estas operaciones de espionaje incluían un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) atribuido a actores maliciosos vinculados con el Estado de Pakistán, un actor de amenazas de la India que se hace llamar Patchwork APT, y un grupo de amenazas conocido como Bahamut ATP del sur de Asia.
Estos grupos de ciberdelincuentes utilizaron la ingeniería social para engañar a los usuarios con el objetivo de que clicaran en enlaces maliciosos para descargar 'malware' o para compartir datos personales.