El FBI alerta sobre la amenaza del software malicioso “Medusa” a usuarios de Outlook y Gmail

El FBI ha lanzado una advertencia dirigida a los usuarios de servicios de correo electrónico ampliamente utilizados, como Outlook y Gmail, sobre la creciente amenaza de ciberataques perpetrados por el ransomware llamado “Medusa” (un tipo de malware que retiene datos y dispositivos como rehenes hasta que se paga un rescate).

Este malware, (software malicioso que puede dañar o alterar el funcionamiento de un dispositivo) que ha afectado a más de 300 víctimas en sectores tan diversos como tecnología, legal, médico y manufacturero, representa un riesgo significativo debido a su modelo operativo y su capacidad para extorsionar a quienes caen en sus redes. 

La alerta de seguridad fue emitida el 12 de marzo en colaboración con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información de Múltiples Estados (MS-ISAC), tras detectar actividad reciente de Medusa el mes pasado, aunque el ransomware fue identificado por primera vez en junio.

Según el aviso conjunto de las agencias, los responsables de Medusa, denominados "actores de Medusa", incluyen tanto a los desarrolladores del ransomware como a sus afiliados, quienes operan bajo un esquema conocido como ransomware como servicio. Este modelo se basa en una estrategia de doble extorsión: primero, cifran los datos de las víctimas, dejándolos inaccesibles, y luego amenazan con publicar la información robada en caso de que no se pague el rescate exigido.

Este enfoque intensifica la presión sobre las víctimas, ya que no solo pierden acceso a sus sistemas, sino que también enfrentan la posibilidad de que datos sensibles sean expuestos públicamente.

Los desarrolladores de Medusa reclutan intermediarios especializados, conocidos como intermediarios de acceso inicial, a través de mercados y foros en la dark web frecuentados por ciberdelincuentes. Estos colaboradores reciben pagos que oscilan entre 100.000 y 1 millón de dólares, con la oferta adicional de trabajar de manera exclusiva para una organización de hackers, lo que demuestra el nivel de profesionalización detrás de estas operaciones. 

¿Cómo ingresan al sistema operativo?

Para infiltrarse en los sistemas, los intermediarios emplean tácticas comunes pero efectivas, como el envío de correos electrónicos de phishing diseñados para engañar a los usuarios y la explotación de vulnerabilidades en software que no ha sido actualizado, un recordatorio de la importancia de mantener los sistemas al día.

Las notas de rescate dejadas por Medusa son claras en sus demandas: las víctimas deben establecer contacto con los atacantes en un plazo de 48 horas, utilizando un chat en vivo accesible a través del navegador Tor (que garantiza el anonimato de los criminales) o la plataforma de mensajería cifrada Tox, conocida por su seguridad de extremo a extremo. 

Si las víctimas no responden dentro de ese tiempo, los actores de Medusa no dudan en intensificar su estrategia, contactándolas directamente por teléfono o correo electrónico para presionar por el pago. 

Según el FBI una víctima fue extorsionada tres veces. Tras realizar un primer pago, otro actor de Medusa se comunicó con ella, afirmando que el hacker principal había robado el dinero del rescate y exigiendo un nuevo pago.

Sugerencias de protección

Frente a esta amenaza, el FBI, CISA y MS-ISAC han proporcionado una serie de recomendaciones prácticas para que los usuarios y organizaciones se protejan. 

Entre las medidas sugeridas destacan el uso de contraseñas robustas, preferiblemente largas y actualizadas con frecuencia, junto con la implementación de autenticación multifactor, que añade una capa adicional de seguridad al requerir más de un método de verificación. 

Además, las agencias enfatizan la importancia de realizar copias de seguridad de datos confidenciales, ya sea en discos duros externos, servicios en la nube o dispositivos de almacenamiento dedicados. Estas copias deben mantenerse desconectadas de la red y, en lo posible, cifradas, para asegurar que puedan usarse para restaurar sistemas sin depender de los atacantes. 

Mantener los sistemas operativos y el software actualizados también es clave para cerrar las brechas que los hackers podrían explotar.

Ryan Kalember, director de estrategia de la empresa de seguridad Proofpoint, aportó un consejo sobre cómo reaccionar ante un ataque de phishing. En declaraciones a The Washington Post, señaló que “esa suele ser la primera reacción, y no es la ideal”, refiriéndose a la tendencia de los usuarios a ignorar el problema tras abrir enlaces o archivos adjuntos sospechosos. 

“Cuando caes en la trampa, el atacante aún tiene un margen de tiempo para analizar qué ha conseguido y si vale la pena aprovecharlo”, explicó, subrayando que una respuesta inmediata puede limitar el daño, en lugar de permitir que el atacante profundice su acceso.

Para los usuarios de Outlook, Gmail y otros servicios, adoptar estas medidas de prevención no solo es una recomendación, sino una necesidad urgente.