Cada día los ciberdelincuentes encuentran nuevas formas de robar información, tanto de usuarios comunes como de grandes organizaciones. En un entorno donde la confianza digital es clave, muchos ciudadanos no dudarían en abrir un correo que aparentemente proviene de una entidad estatal. Sin embargo, en los últimos años, esta confianza ha sido aprovechada por actores maliciosos, intensificando una amenaza silenciosa pero persistente: el robo de información.
Esta tendencia ahora tiene un nombre: DCRat. Se trata de un virus troyano recientemente identificado en una campaña activa en Colombia, según Fortinet, empresa global líder en ciberseguridad. La investigación revela que este malware se está distribuyendo de forma encubierta, suplantando entidades oficiales para engañar a los usuarios y tomar control de sus dispositivos, marcando un nuevo nivel de sofisticación en los ataques digitales en el país. Lee también: ¡Bórralas ya! Estas dos aplicaciones de Android podrían robar tu información.
¿Qué DCRat y cómo ataca?
DCRat, también conocido como Dark Crystal RAT, es un virus de acceso remoto (RAT) de tipo modular que funciona bajo el modelo de malware como servicio (MaaS) y está activo desde 2018. Desarrollado en C#, cuenta con funciones comunes de este tipo de amenazas, como ejecutar comandos de shell, registrar pulsaciones de teclas y extraer archivos o credenciales del sistema afectado.
A lo largo del tiempo, su distribución ha ocurrido mediante sitios web comprometidos o falsificados, archivos protegidos con contraseña enviados a través de plataformas como Signal, o mediante campañas de spam que incluyen adjuntos maliciosos en formatos Excel o PDF con macros incrustadas.
¿Qué puede hacer DCRat para robar tus datos?
DCRat no es un virus común. Se trata de una herramienta avanzada capaz de operar de manera silenciosa y persistente dentro de una red empresarial. Entre sus capacidades, se destacan:
- Control remoto completo del sistema infectado.
- Robo de información crítica: contraseñas, documentos, archivos sensibles.
- Manipulación de configuraciones del sistema, creación de cuentas, apagado o reinicio del equipo.
- Monitoreo activo del usuario, incluyendo capturas de pantalla y registro de teclas.
- Interacción con navegadores para extraer cookies, historial y credenciales.
El método: correos de suplantación institucional con alta tasa de engaño
El equipo de inteligencia de amenazas de Fortinet ha detectado que DCRat se distribuye principalmente a través de correos electrónicos dirigidos que simulan notificaciones oficiales de entidades estatales. Utilizan técnicas como:
- Archivos adjuntos protegidos con contraseña.
- Codificación Base64 y esteganografía para evadir análisis automático.
- Correos con remitente falso y destinatario en copia oculta (BCC).
Este enfoque permite eludir filtros tradicionales de spam y antivirus, lo que incrementa las probabilidades de que un empleado desprevenido ejecute el archivo malicioso.
¿Qué está en juego para los usuarios u organizaciones?
Cuando un solo equipo cae, el riesgo se expande a toda la red. Los efectos de una infección con DCRat pueden incluir:
- Acceso remoto a sistemas financieros o bases de datos estratégicas.
- Interrupción operativa a través de sabotaje interno de los sistemas.
- Exfiltración silenciosa de información corporativa o personal.
- Pérdida de confianza de clientes y socios, en el caso de las organizaciones.