La compañía admitió que viene ocurriendo desde 2019. Exigirá doble autenticación.
Ciberdelincuentes estuvieron hackeando canales de YouTube desde al menos 2019 para transmitir en vivo estafas con criptomonedas, según publicó esta semana el medio especializado en tecnología Wired. La mecánica sería similar a la del año pasado, cuando cuentas de Twitter de famosos como Donald Trump, Jeff Bezos y Elon Musk fueron intervenidas para una estafa de ingeniería social el cripto.
Google detalló la técnica que utilizaron los ciberdelincuentes contratados para comprometer a miles de creadores de YouTube en los últimos años. Las estafas de criptomonedas y las apropiaciones de cuentas en sí mismas no son algo raro, pero un ataque sostenido como el que se conoció ahora denota una práctica que hasta ahora la compañía no había reconocido.
Según explicó Wired, todo comienza con un “phishing”, es decir, un robo de contraseña. Los atacantes envían a los creadores de YouTube un correo electrónico que parece provenir de un servicio real, como una VPN, una aplicación de edición de fotos o una oferta antivirus, y se ofrecen a colaborar. Proponen un arreglo promocional estándar: muestre nuestro producto a sus espectadores y le pagaremos una tarifa. Es el tipo de transacción que ocurre todos los días para los youtubers.
Sin embargo, hacer clic en el enlace para descargar el producto llevaba al creador a un sitio “landing” de malware en lugar del verdadero. En algunos casos, los cibercriminales se hicieron pasar por cantidades conocidas como Cisco VPN y juegos de Steam, o fingieron ser medios de comunicación centrados en COVID-19.
Google dice que ha encontrado más de mil dominios hasta la fecha que fueron diseñados específicamente para infectar a youtubers. La compañía también encontró 15.000 cuentas de correo electrónico asociadas con los atacantes detrás del esquema. Los ataques no parecen haber sido obra de una sola entidad; más bien, dice Google, varios piratas informáticos anunciaron servicios de adquisición de cuentas en foros en ruso.
Cómo funciona la estafa a youtubers
Los atacantes entraron mirando las cookies luego de hacer phishingFoto AFP
Una vez que el youtuber descarga inadvertidamente el software malicioso, toma cookies específicas de su navegador. Estas “cookies de sesión” confirman que el usuario ha iniciado sesión correctamente en su cuenta. Un ciberdelincuente puede cargar esas cookies robadas en un servidor malicioso, permitiéndoles hacerse pasar por la víctima ya autenticada. Las cookies de sesión son especialmente valiosas para los atacantes porque eliminan la necesidad de pasar por cualquier parte del proceso de inicio de sesión.
Estas técnicas de “pasar la cookie” han existido durante más de una década, pero siguen siendo efectivas. En estas campañas, Google dice que observó a los piratas informáticos que usaban alrededor de una docena de herramientas de malware de código abierto y listas para usar para robar las cookies del navegador de los dispositivos de las víctimas. Muchas de estas herramientas de piratería también podrían robar contraseñas.
Google no confirmó qué incidentes específicos estaban relacionados con la ola de robo de cookies, pero detectó un aumento notable en las adquisiciones se produjo en agosto de 2020, cuando ciberdelincuentes secuestraron varias cuentas con cientos de miles de seguidores y cambiaron los nombres de los canales a variaciones de “Elon Musk” o “Space X”, luego estafas de bitcoins transmitidas en vivo.
No está claro cuántos ingresos generó cualquiera de estas estafas, pero presumiblemente estos ataques han tenido al menos un éxito moderado dado lo generalizados que se volvieron.
Las preocupantes cifras de la estafa
A Google le preocupa la seguridad de los youtubers y no parece poder resolverlo. Foto Reuters
Este tipo de robo de cuentas de YouTube aumentó en 2019 y 2020, y Google dice que convocó a varios de sus equipos de seguridad para abordar el problema. Desde mayo de 2021, la compañía dice que ha detectado el 99.6 por ciento de estos correos electrónicos de phishing en Gmail, con 1.6 millones de mensajes y 2.400 archivos maliciosos bloqueados, 62.000 advertencias de páginas de phishing mostradas y 4.000 restauraciones de cuentas exitosas.
Ahora, los investigadores de Google detectaron cómo los atacantes se dirigen a creadores que utilizan proveedores de correo electrónico distintos de Gmail, como aol.com, email.cz, seznam.cz y post.cz, como una forma de evitar la detección de phishing de Google.
Los atacantes también han comenzado a intentar redirigir a sus objetivos a WhatsApp, Telegram, Discord u otras aplicaciones de mensajería para mantenerse fuera de la vista, por lo que este tipo de estafa podría llegar mucho más lejos de lo que se piensa.
Aunque la autenticación de dos factores no puede detener estos robos de cookies basados en malware, es una protección importante para otros tipos de estafas y phishing.
Por eso siempre se recomienda activarlo: de hecho, a partir del 1 de noviembre, Google requerirá que los creadores de YouTube que moneticen sus canales activen el doble factor para la cuenta de Google asociada con su YouTube Studio o el Administrador de contenido de YouTube Studio.