Phishing en mi vida

Quizá ha escuchado o conoce a alguien que tiene como hobbie o que practica el deporte de ir de pesca. La pesca es una actividad que requiere de conocimiento, de técnica particular, de equipos, de herramientas y de una fuerte dosis de paciencia. Primero, es necesario que piense en el tipo de presa que desea pescar, después en dónde va a realizarla (¿será en aguas dulces o saladas, en el río, en la laguna o en el mar? Después, hay que pensar en el tipo caña de anzuelo o de red. Finalmente en el tipo carnada y… ¡Listo, a pescar!  A grandes rasgos, y sin pretender ser un experto en esta actividad, esto es lo que implica el “ir de pesca”.

Quizá se pregunta “¿y el ir de pesca, qué tiene que ver con mi ciberseguridad?”. Pues bien, pescando o phishing en inglés es una técnica que utilizan los ciberdelincuentes para obtener información del usuario y así acceder a determinado recurso.

Esto se logra a través del uso de diferentes herramientas y de técnicas basadas, principalmente, en la persuasión y en el engaño a los usuarios o víctimas. Y no es algo nuevo. Según Phishing.org, la práctica del phishing comenzó alrededor de 1995. Para familiarizarlo con lo anterior, tal vez usted sabe o conoce a alguien que ha recibido algún correo en donde ofrecen premios, regalos, super ofertas, incluso herencias de un pariente lejano que ni siquiera usted sabía que existía (mensajes empáticos). O tal vez, haya recibido algunos correos en donde el fisco le daba aviso sobre algún problema con su situación fiscal; o tal vez algún banco le haya informado que sus tarjetas bancarias fueron bloqueadas; o tal vez haya recibido alguna notificación de demanda o de pérdida de servicios (mensajes coercitivos). Entonces, mi estimado lector, estos son ejemplos clásicos y muy recurrentes del phishing.

¿Cuáles son las principales motivaciones de los cibercriminales?

Las motivaciones de los cibercriminales pueden ser desde obtener información para perpetrar robos y fraudes —con los números de cuentas bancarias, tarjetas de crédito, de débito, departamentales, etc. —, hasta la de generar robos, fraudes y secuestro de información a individuos y a organizaciones de todo tipo y tamaño, accesando a información clasificada como bases de datos, sistemas, servidores entre otras. Estas actividades, al basarse en engaños y accesos no autorizados, son tipificadas como ciberdelitos.

¿Porqué ha proliferado?

El Informe de investigación de violaciones de datos de Verizon (VDBIR, por sus siglas en inglés) clasificó el phishing como la tercera técnica más común utilizada en incidentes y en violaciones confirmadas de ciberseguridad. Además, casi el 80% de los incidentes de seguridad relacionados con espionaje o con instalación de malware se realizaron a través de ataques de phishing.

Un elemento fundamental es la falta de conocimiento y la poca capacitación que se da al personal que utiliza servicios digitales, particularmente, el entrenamiento que se dirige a fomentar una cultura de seguridad digital o de ciberseguridad, pues los criminales que se dedican al phishing se aprovechan de las emociones básicas del humano, la alegría, el miedo, el coraje, la tristeza.

Otro elemento importante es la disponibilidad de recursos para capacitación para “entusiastas” y contra ciberdelincuentes: para conocer el manejo de foros, de grupos, de tutoriales, de plantillas y de herramientas que permiten el aprendizaje para el lanzamiento de campañas de phishing, y sin dejar de lado la constante evolución de las técnicas de persuasión y de engaño.

Por otro lado, tenemos la tecnificación de todo. Todo se está conectando; cada día vemos nuevos servicios digitales que nos facilitan la vida: banca electrónica, transferencias de dinero, compras por internet, videoconferencias, intercambio de información de todo tipo (personal, confidencial, clasificada); y es justamente este botín tan tentador lo que hace que el ciberdelincuente salga a pescar.

En resumen, el phishing es una de las técnicas más utilizado por los ciberdelincuentes para robar información, robar dinero o instalar software malicioso (malware), utilizando como principal arma la persuasión y el engaño a través de herramientas tecnológicas comunes que se encuentran al alcance de todos. El phishing es un elemento que conforma un pilar dentro de la estrategia general del ataque, ya que se centra en el elemento más débil en la cadena de ciberseguridad: el humano.

¿Cuáles son las principales herramientas?

Otras herramientas son: el envío de correos electrónicos falsos, invitaciones a acceder a páginas web falsas, el envío de mensajería electrónica con promociones increíbles, invitaciones y promociones en redes sociales, etc. La herramienta más valiosa es la poca cultura del usuario sobre la protección de información.

¿Y qué puede hacer usted para reducir el riesgo de ser víctima de phishing?

  • Defina e identifique qué tipo de su información puede ser considerada como importante, confidencial, clasificada o delicada.
  • Establezca lineamientos, parámetros o políticas en las que defina qué tipo de información se puede compartir en línea o incluso, con quién puede compartirse. Incluya en este ejercicio la información que compartirá en sus redes sociales.
  • Monitoré y busque en el ciberespacio información sobre usted y sobre su organización.
  • Actualmente, la gran mayoría de las aplicaciones están habilitadas con autenticación de doble factor, utilícelo.
  • Busque entrenamiento y capacitación para aprender sobre esta amenaza, sobre cómo detectarla, sobre su relación con la Ingeniería Social y sobre qué hacer en caso de que logre identificar un posible ataque.
  • Y lo más importante: use su sentido común, sea incrédulo, no abra correos que no espera, pregúntese si tiene sentido abrir correos o páginas web desconocidos, no de click sin antes leer cuidadosamente, no descargue programas, documentos, videos, etc., por más tentadores que parezcan.

La permanencia y evolución del phishing se deben, en gran medida, a la explotación de la confianza de los usuarios y a su falta de entrenamiento en materia de seguridad de la Información. En Capa8 estamos conscientes de esta brecha y estamos comprometidos con la sociedad para fomentar una cultura de seguridad digital que coadyuve a la formación de “ciudadanos digitales” Responsables. Contáctenos, podemos ayudarle.

En nuestro próximo capítulo, hablaremos sobre el software malicioso o malware y sobre cómo los ciberdelincuentes lo mezclan con la ingeniería social, con redes inalámbricas no seguras y con el phishing para perpetrar sus ataques.

Por Eleazar Cruz

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

BRata: malware que espió a 10,000 usuarios de WhatsApp

En Mayo, WhatsApp reconoció una vulnerabilidad dentro de su aplicación que permitía que ciberdelincuentes espiar los mensajes de sus usuarios. Tras el incidente, la plataforma recomendó que se actualizara su aplicación.

Evidentemente, los usuarios que buscaban asegurar su app de mensajería intentaron actualizarla de inmediato a través de diferentes medios, pero lamentablemente muchos cayeron en una «trampa» e instalaron un troyano en vez de la actualización correcta.

Los usuarios buscaron una actualización y muchos de ellos creyeron que instalar una aplicación que fuera literalmente la Actualización de WhatsApp sería el camino más sencillo para estar seguros. Sin embargo este mismo desconocimiento provocó que descargaran un troyano que espiaba sus equipos”, explicó Dmitry Bestushev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, durante la Cumbre Latinoamericana de Ciberseguridad en Iguazú, Argentina.

La aplicación apócrifa, llamada BRata, se encontraba dentro de la PlayStore de Google de Brasil y logró colarse en poco más de 10,000 cuentas del servicio de mensajería.

Se trató de un trabajo de ingeniería social pues los ciberdelincuentes sabían que las personas buscarían estar seguras y de esta forma lograron vulnerarlos. La operación, además, se hacía de forma remota y afectó a usuarios brasileños, quienes tuvieron vulneraciones variadas, desde la exposición de sus datos personales, hasta los datos bancarios de sus aplicaciones financieras”, señaló Santiago Pontirolli, investigador de Kaspersky Lab de Latinoamérica.

Cuando se instalaba, este troyano enviaba en tiempo real a los ciberatacantes un «espejo» de la pantalla del dispositivo y los datos que ahí aparecían. El malware brinda también la capacidad de activar cámaras y micrófonos para convertirse en un completo sistema de espionaje.

Aunque ya fue retirado de la tienda de aplicaciones, las consecuencias de BRata aún no tienen un número preciso de afectados, ya que se viralizó tanto en la tienda de aplicaciones como vía mensaje a mensaje a través del mismo mensajero. Los expertos de Kaspersky subrayaron que este tipo de vulnerabilidades van en ascenso en la región.

El caso brasileño tuvo un trasfondo de ser por volumen, de llegar a usuarios finales y robar sus identificaciones bancarias, sin embargo, este tipo de vulnerabilidades en el caso de México han tenido un motivo más social y político”. Recordemos que el software de espionaje Pegasus, que supuestamente fue utilizado por el gobierno mexicano o un grupo al interior de la administración federal para espiar a activistas, periodistas y defensores de derechos humanos, fue creado por la firma NSO Group para espiar exclusivamente a bandas criminales o terroristas, compañía que además estuvo detrás de la vulnerabilidad que admitió WhatsApp en mayo de este año.

¿Qué es BRata?

Según Kaspersky, BRata es una nueva familia de herramientas de malware que brindan acceso remoto en dispositivos Android. Se le bautizó así por su descripción: «Brazilian RAT Android«, ya que estaba dirigido exclusivamente a víctimas en dicho país: sin embargo, teóricamente también podría usarse para atacar a cualquier otro usuario de Android si los ciberdelincuentes detrás de él lo desean. Se ha generalizado desde enero de 2019, principalmente alojado en la tienda Google Play, pero también se encuentra en tiendas alternativas no oficiales de aplicaciones de Android. Para que el malware funcione correctamente, se requiere al menos la versión Android Lollipop 5.0.

Los cibercriminales detrás de BRata usan pocos vectores de infección. Por ejemplo, usaron notificaciones push en sitios web comprometidos; y también lo difundieron utilizando mensajes enviados a través de WhatsApp o SMS, y enlaces patrocinados en las búsquedas de Google.

Kaspersky recomienda revisar cuidadosamente los permisos que cualquier aplicación solicita en el dispositivo. También subraya que es esencial instalar una excelente solución antimalware actualizada con protección en tiempo real habilitada.

Incremento de robos de identidad a través de portabilidad numérica

En México son cada vez más frecuentes los fraudes y el robo de identidad aprovechándose de la portabilidad no autorizada de un número telefónico. A este tipo de fraude se le denomina SIM SWAP.

El SIM SWAP se basa en la capacidad de las compañías telefónicas de portabilizar un número de teléfono a una SIM nueva. Cuando existe una portabilidad no consentida, ésta es utilizada para la comisión de fraudes. Según un reporte del IFT cada vez es más frecuente el número de registros donde el usuario se queja de un cambio de portabilidad sin su consentimiento.

En ese sentido, uno de los principales objetivos de un atacante además de obtener las contraseñas a través de phishing o ingeniería social, es provocar un daño financiero, por eso debemos estar alerta.

Contraseñas: cómo pueden familias y empresas proteger su información

Los ciberdelincuentes aprovechan cada error y descuido cometido por los usuarios para obtener sus credenciales. De hecho, se calcula que más de 23 millones de usuarios en todo el mundo han sufrido el robo de contraseñas por utilizar combinaciones poco seguras.

Con información de La Razón

A primeros del mes de mayo se celebra el Día Mundial de las contraseñas, una fecha que busca concienciar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos. Con motivo de esta celebración, el equipo de expertos de Entelgy Innotec Security ofrece una serie de indicaciones para que los usuarios y empresas eviten el robo de sus contraseñas y, por tanto, el acceso a sus datos personales e información confidencial.

Para poder tomar las precauciones necesarias, es importante conocer primero qué técnicas son las más empleadas por parte de los ciberdelincuentes y qué errores de los usuarios les facilita la tarea. Los ataques más comunes son seis:

● Fuerza bruta. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como “1q2w3e4r5t”, “zxcvbnm” o “qwertyuiop”. Si esto no funciona, tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, tan solo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad.

● Ataque de diccionario. Un programa informático prueba cada palabra de un “diccionario” previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.

● Ataque keylogger. El usuario instala inconscientemente un malware, conocido como keylogger, al acceder a un enlace o descargar un archivo de internet. Una vez instalado, éste captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. Es especialmente peligroso ya que registra todo lo que el usuario escribe.

● Phishing. Los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al clicar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.

● Ingeniería social. Son aquellas que no se llevan a cabo a través de equipos informáticos. La práctica conocida como “shoulder surfing”, es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología. De hecho, una práctica muy común es dejar la contraseña apuntada en un post-it alrededor del equipo, lo cual es totalmente desaconsejable.

● Spidering. Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y, por tanto, lo aprovechan para robarlas. En esta técnica se emplea una “araña” de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Se trata de un ataque especialmente efectivo contra grandes empresas, pues disponen de más información online, así como para obtener contraseñas de redes Wi-Fi, generalmente relacionadas con la propia compañía.

Según un informe realizado por Ponemon Institute, las pérdidas económicas de media por un robo de información a una empresa ascienden a 3,41 millones de euros. Estas pérdidas se originan por contraseñas poco robustas robadas por los ciberdelincuentes a través de alguna de las técnicas mencionadas. Además, la falta de información y concienciación provoca que usuarios y compañías lleven a cabo prácticas poco recomendables que permiten a los ciberdelincuentes acceder a sus datos y vulnerar los sistemas. 

“Contar con contraseñas seguras es un factor fundamental tanto para organizaciones empresariales como para el usuario. Es mucha e importante la información que hay detrás de una clave por ello, a la hora de crear una contraseña tiene que ser la más segura y robusta posible”, explica Félix Muñoz, CEO de Entelgy Innotec Security. 

Consejos para mantener nuestra información segura

Desde Entelgy Innotec Security recomiendan tener en cuenta estas cuatro máximas a la hora de crear y proteger una contraseña, tanto dentro de una compañía, como a nivel individual:

1. Transmitir buenas prácticas 

Implantar una política de seguridad interna debería ser la primera medida que deberían poner en marcha las empresas para transmitir a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la compañía. Entre estas se encuentran la obligación de confidencialidad de la información manejada, bloquear la sesión al ausentarse del puesto de trabajo o la prohibición de instalar cualquier software sin previa autorización.

2. Ponerlo difícil

Según el último informe del Centro Nacional de Ciberseguridad de Reino Unido (NCSC) 23,2 millones de usuarios de todo el mundo que han resultado víctimas de una brecha de seguridad utilizaban como contraseña para sus cuentas ‘123456’. Para evitar estos ataques es recomendable, en primer lugar, modificar la contraseña la primera vez que accedemos a una nueva cuenta o equipo. Esa nueva clave, preferiblemente de más de 8 caracteres, deberá incluir signos, caracteres especiales y alternar mayúsculas y minúsculas. Además, será importante evitar palabras comunes o relacionadas con información personal del usuario. Por último, esta contraseña se debe modificar cada seis meses y no reutilizarla.

3. Cuidar la contraseña

Un 69% de profesionales admite compartir contraseñas con sus compañeros de trabajo, una práctica muy poco segura si, además, esta información se transmite por algún medio online. Lo recomendable es no dar este dato a ningún compañero de trabajo ni dejarla apuntada en ningún documento. Además, es muy importante crear una contraseña diferente para cada cuenta de usuario, de forma que si una es robada no se vean comprometidos varios servicios.

4. Utilizar herramientas de almacenamiento de contraseñas

Como medida de seguridad extra y más profesional, el usuario puede optar por emplear alguna herramienta de almacenamiento y administración de contraseñas. Si bien es cierto que estas no son 100% seguras, sin duda será más difícil el robo de una contraseña si el usuario hace uso de estos gestores. Además, algunos de ellos ofrecen la posibilidad de incluir una doble autenticación, es decir, proporcionar una capa de protección adicional. Por otro lado, este tipo de herramientas pueden contribuir a que se reduzca el tiempo que los trabajadores destinan a introducir o resetear su contraseña. Según el informe mencionado, los empleados aseguran que pierden de media 12,6 minutos a la semana o 10,9 horas al año poniendo y reseteando contraseñas. Esto se traduce en unas pérdidas estimadas en 5,2 millones de dólares anuales por compañía.

Fuente: La Razón

Más información en: https://www.larazon.es/familia/contrasenas-como-pueden-familias-y-empresas-proteger-su-informacion-PE23148676