Cómo protegerse de Emotet, el virus diseñado para robar dinero

Tras cinco meses desaparecido, el virus informático Emotet volvió a hacer de las suyas en julio, habiendo atacado hasta la fecha a un 5% de las empresas de todo el mundo. Este malware se infiltra en el sistema y roba información, mientras intenta propagarse por los ordenadores conectados a la misma red.

Emotet surgió en 2014 como un malware en un archivo JavaScript. Su objetivo era robar información confidencial y privada, sobre todo bancaria, aunque con el tiempo mostró otros añadidos como el envío de spam y malware. Suele dirigirse a grandes empresas (donde la información a sustraer es valiosa) y su principal forma de propagación es a través de correos fraudulentos.

En los correos con los que comienza la infección de Emotet hay un link o un documento, habitualmente en formato .doc. El texto del mensaje suele advertir de que existe una factura impagada, o de que recibiremos un envío próximamente, instándonos a consultar el archivo adjunto para obtener más información. De un tiempo a esta parte, los delincuentes también recurren al coronavirus como reclamo: el cuerpo del correo habla de cómo evitar la infección o qué hacer en caso de estar en contacto con un caso positivo.

Al abrir el fichero adjunto se reclama permiso para 'Habilitar edición'. Aceptándolo, el usuario desactiva las medidas de seguridad del propio Microsoft Office contra la ejecución de código mediante macros. En otras ocasiones, un link incluido en el correo es el camino utilizado por los delincuentes para comenzar la infección.

El virus infecta el ordenador de dos formas: se instala directamente o utiliza la consola PowerShell de Windows para descargarse de los servidores de comando y control (C&C) de los atacantes. Si utiliza esta última opción, los delincuentes pueden instalar malware adicional como 'Qakbot', un troyano diseñado para robar datos bancarios. Esta capacidad de Emotet de instalar diversos módulos, cada uno con una función, lo hace especialmente peligroso.

Además hablamos de un troyano, lo que abre la puerta del ordenador a otros virus: una infección por Emotet puede ser solo la primera de muchas. Después de infectar el ordenador, lo conecta a una botnet y lo utiliza para enviar correos de spam con los que seguir propagándose. El problema que han detectado los expertos es que al enviarse a la lista de contactos de un ordenador infectado, Emotet puede hacerse con archivos adjuntos reales, de forma que el destinatario se confía: recibe algo que le resulta familiar de alguien que ya conoce.

Ser cauteloso es la mejor forma de evitar la infección. Nunca hay que abrir los ficheros adjuntos o pinchar en el link de un correo que se haya recibido de una dirección sospechosa o desconocida. Expertos en seguridad como Panda Security o el Instituto Nacional de Ciberseguridad (Incibe) dan algunas claves adicionales para que las empresas eviten la infección por Emotet:

■ Desactivar por defecto la ejecución de macros en Office: No habilitar una macro en un documento Office a no ser que se esté totalmente seguro de su legitimidad.

■ Mantener los equipos actualizados con los parches más recientes de Windows: Emotet es uno de los virus que aprovechan la vulnerabilidad 'EternalBlue'.

■ Reconocer los emails de 'phishing': No descargar ningún archivo del que se tenga la mínima sospecha ni hacer clic en un enlace del que no se esté totalmente seguro.

■ Crear contraseñas robustas y utilizar el doble factor de autenticación en las páginas y servicios que den esta posibilidad: Cuando Emotet infecta un ordenador conectado a una red se intenta extender por ésta utilizando una lista con las contraseñas más comunes.

■ Instalar un solución de ciberseguridad que detecte la infección y la elimine, ya que limpiar el ordenador a mano es bastante difícil.

El Equipo de Respuesta ante Emergencias Informáticas (CERT) de Japón -el equivalente al Incibe español- ha puesto a disposición de cualquier usuario en GitHub una herramienta llamada Emocheck. Para comprobar si el ordenador está infectado, solo hay que bajarse la versión correspondiente y ejecutarla.