Desmantelamiento de campañas de malware y phishing

Banner en el que aparce un hombre tecleando un ordenador portátil mientras habla por un teléfono móvil, acerca de campañas de malware y phishing.

El servicio de desmantelamiento de campañas de Cyberzaintza tiene como objetivo interrumpir infraestructuras maliciosas activas asociadas a campañas de malware y phishing que afecten a organizaciones y ciudadanía.

Modus operandi

Los cibercriminales ejecutan campañas de malware y phishing como parte de su operativa habitual. Dichas campañas pretenden diferentes objetivos, siendo los más habituales el compromiso de los sistemas de las organizaciones a través de la propagación de correos con adjuntos maliciosos, o la obtención de información sensible para su posterior monetización. Para llevar a cabo este tipo de campañas, registran dominios o utilizan otros previamente comprometidos.

Estos ataques aprovechan la ingeniería social y el error humano a gran escala debido a su bajo costo y facilidad de ejecución. Las razones clave incluyen:

Icono en el que aparecen un billete y una moneda de euros.

Beneficio económico

Icono de una carpeta que representa la obtención de datos digitales.

Obtención de datos confidenciales

Icono de un hombre con un antifaz, que representa el robo de credenciales y datos bancarios.

Robo de credenciales y datos bancarios

Icono en el que aparece una araña al lado de un candado, que representa la instalación de malware.

Instalación de malware

Icono de un diamante rodeado por líneas que representa el bajo costo y la alta rentabilidad de combatir las campañas de malware y phishing.

Bajo costo y alta rentabilidad

Icono de un candado sobre la pantalla de un ordenador. Representa la suplantación de identidad digital.

Suplantación de identidad

Imagen de una persona frente a un portatil, que está pulsando un móvil para notificar a Cyberzaintza de una campaña fraudulenta de malware o phishing.

¿Cómo notificar una campaña fraudulenta?

Cualquier persona o entidad puede remitirnos al buzón de incidencias@cyberzaintza.eus un correo electrónico o sms sospechoso de ser fraudulento para que lo analicemos y ejecutemos las medidas técnica oportunas.

Es fundamental, siempre que sea posible, enviar el mensaje original en formato .eml, ya que permite realizar un análisis técnico completo.

Procedimiento de takedown ante campañas fraudulentas

El proceso de desmantelamiento sigue una metodología estructurada y trazable:

  • 1. Recopilación de evidencias

    El primer paso es la obtención del mensaje original en formato .eml, lo que permite analizar: cabeceras completas (Received, Return-Path, Message-ID, SPF, DKIM, DMARC), URLs embebidas, archivos adjuntos, redirecciones intermedias y artefactos técnicos asociados.

    Sobre un teclado, las manos de un experto de Cyberzaintza recopilando evidencias de una campaña fraudulenta de malware o phishing.

  • 2. Identificación de Indicadores

    A partir del análisis técnico se extraen los IoCs relevantes, como dominios, direcciones IP, URLs maliciosas, que permitan caracterizar la campaña y vincularla con un abuso concreto de recursos (suplantación, alojamiento de phishing, distribución de malware, etc.).

    Imagen en la que aparece una imagen de un navegador con la dirección de un sitio web seguro en primer plano.

  • 3. Identificación de proveedores

    Con los IoCs identificados, determinamos qué proveedor (registrador, hosting, ISP o plataforma) es responsable del dominio y de la infraestructura implicada, para dirigir la solicitud de retirada al punto de contacto adecuado.

    Imagen de dos expertos de Cyberzaintza frente a una tablet. Es tán identificando los proveedores responsables de un dominio web para realizar una solicitud de retirada.

  • 4. Solicitud formal de takedown

    Desde la Agencia se formaliza la solicitud de takedown (retirada, suspensión o bloqueo del recurso), adjuntando las evidencias técnicas que acreditan el comportamiento malicioso. El objetivo es reducir la ventana de exposición e interrumpir la infraestructura.

    Manos de una persona pulsando un teclado sobre el que aparece un candado y una petición de contraseña. Está realizando una solicitud de takedown para combatir una campaña fraudulenta.