OpiniónSeguridad

El truco más viejo del hacker

Por Juanjo Galán, Business Strategy de All4Sec.

La bandeja de entrada de la aplicación de correo electrónico acababa de decirme que un nuevo mensaje había llegado a mi buzón. Instintivamente, y aupado por la obsesión de consultar constantemente mi mensajería, accedí a la ventana de la aplicación con intención de saciar mi curiosidad. Entonces comenzaron mis quebraderos de cabeza.

La pantalla del portátil indicaba que yo mismo me había enviado un correo. ¿Yo?, me pregunté mientras me lanzaba en un acto reflejo a leer el “Asunto” del mensaje que pretendía captar mi atención.

Con sorpresa descubrí que en grandes letras aparecía el texto: “¡Ha sido hackeado! ¡Cambie su contraseña inmediatamente!”.

Inquieto ante lo que anticipaba que sería un desastre, pasé la vista por el contenido mientras sentía una cierta desazón. Las primeras palabras que leí no hicieron más que acentuar mi intranquilidad: “Te saludo! Tengo malas noticias para ti. 14/10/2019 - en este día pirateé su sistema operativo y obtuve acceso completo a su cuenta…

Sin entender nada, proseguí en la lectura y descubrí nuevos detalles, “… Así fue como fue. En el software del enrutador a través del cual se conectó, hubo una vulnerabilidad. Primero pirateé este enrutador y puse mi código malicioso en él. Cuando ingresó a través de Internet, mi troyano se instaló en el sistema operativo de su dispositivo…”.

Para cuando llevaba leído más de la mitad del mensaje ya había llegado a la conclusión de que se trataba de un engaño y además ¡yo no escribía tan mal! —“Miré los sitios que visitas regularmente. Estoy sorprendido por tus recursos favoritos. Estoy hablando de sitios para adultos. Quiero decir que eres un gran pervertido. ¡Has desenfrenado la fantasía!”, había escrito el susodicho.

Decidido, continué hasta el final sin saber a dónde podía llevarme todo aquello: “Tomé una captura de pantalla del sitio web íntimo donde te diviertes (sabes a qué me refiero, ¿sí?). Después de eso tomé una foto de tu entretenimiento (usando la cámara de tu dispositivo).”

¡Vaya!, pensé, observando el protector de plástico que cubría la cámara de mi ordenador. ¿Cómo habrá conseguido tomar esa foto? —ni siquiera me planteé a qué “sitio web íntimo” se refería mi anónimo remitente cuando hablaba de los sitios que “visitaba regularmente”.

Seguí leyendo y acto seguido descubrí el verdadero objetivo del mensaje: “Estoy profundamente convencido de que no le gustaría mostrar estas imágenes a sus familiares, amigos o colegas. Creo que $526 es una pequeña cantidad para mi silencio.

Por fin, la persona que me enviaba el mensaje —que no era yo, obviamente— me explicaba sus intenciones y cómo debía hacer para desactivar el aviso, “Acepto dinero en bitcoins. Mi billetera BTC: 1NP127vvSRFTSLNVdqL43dPgBrdLvQTwVT”. Para más inri, me amenazaba con lo que ocurriría si no completaba la transacción, “Después del pago, mi virus y el compromiso contigo se autodestruyen automáticamente. Narrativa: si no recibo la cantidad especificada de usted, su dispositivo se bloqueará y todos sus contactos recibirán una foto con su entretenimiento”. Y por si esto fuera poco, al final —y asumiendo mi resignación al chantaje—, trataba de consolarme, “P.S. Te garantizo que no te molestaré otra vez después del pago, ya que estás lejos de mi única víctima. Este es un código de honor hacker. No te enfades conmigo, cada uno tiene su propio trabajo. Adios”.

Muchos de los que hayan leído esta descripción habrán concluido con certeza que estábamos frente a un tipo de extorsión conocido como “email spoofing”, una suplantación de la identidad bajo la cual se envían peticiones de rescate con la amenaza de publicar algún tipo de información que el destinatario no quisiera ver divulgada.

Al ver este tipo de comunicaciones algunos descubrirán inmediatamente que se trata de un simple engaño, pero muchas personas podrían dudar. Y si no, pensemos en las siguientes preguntas que cualquier usuario podría hacerse: ¿cómo ha hecho el hacker para obtener mi dirección? ¿Habrá instalado de verdad algo en mi ordenador? ¿Cómo es posible que el correo me lo haya enviado yo mismo? —asumo que un lector avezado habrá notado que he obviado otro tipo de preguntas más comprometidas.

El uso del email spoofing es una de las técnicas más utilizadas para engañar a los usuarios y obtener dinero de forma fácil. Solo hay que pararse a pensar en las posibilidades que tiene un ciberdelincuente de enviar millones de correos electrónicos a usuarios incautos que puedan ser víctima de su engaño. Aun así, no es habitual que este tipo de correos pasen inadvertidos a las pasarelas que se encargan de enviarlos; no en vano, los filtros antispam cada día funcionan mejor y clasifican los mensajes como sospechosos para que el usuario decida sobre su veracidad.

Ahora bien, incluso habiendo sido clasificado como spam, en muchas ocasiones, los usuarios pueden tener dudas. Y si no, ¿cómo es posible que sea yo mismo el que me he mandado el correo?, se preguntarán.

El uso de direcciones que aparentan ser de otra persona es una técnica habitual en el phishing. No resulta difícil cambiar el nombre en la dirección de un correo, lo realmente importante es el dominio y la dirección IP asociada al servidor de correo. Un usuario normal no se planteará comprobarlo. Sin embargo, si el servicio de correo tiene activado el SPF (Sender Policy Framework) y si la cabecera del mensaje indica que ha salido de un lugar diferente al habitual el fraude puede detectarse. Con el SPF activado, un dominio autorizará a un servidor el envío de correos electrónicos. Así cuando se envíe o reciba en un servidor no autorizado, el sistema lo clasificará como spam o no lo entregará. Normalmente, la mayor parte de los servicios de correo tienen el SPF activado.

Sin embargo, ello no evita que el usuario pueda llegar a tener dudas si no es capaz de ver el cabecero del mensaje.  Y ¿qué es el cabecero de un mensaje?, se preguntarán muchas personas. Se trata de un bloque de información asociado a cada correo electrónico y donde figura, entre otras cosas, su origen y destino. Al analizarlo con el SPF activado, la dirección IP de origen se verificará para comprobar si está autorizada para enviar mensajes y si no lo está, el correo se clasificará como spam. Así de sencillo.

En el caso descrito, el cabecero del correo incluía el siguiente mensaje “Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning xxxx@xxxxx.es does not designate xxx.x.xxx.xxx as permitted sender, poniendo de manifiesto que provenía de una dirección IP que no figuraba dentro de la organización como autorizado para enviar correos. En Internet existen múltiples direcciones IP que son víctimas de este tipo de hacking y que actúan como pasarela de correos maliciosos. Algunos servicios, como por ejemplo LiveIPMap, proporcionan información sobre direcciones que han podido ser vulneradas y están abiertas a este tipo de posibles ataques.

Respondidas pues las dudas sobre el origen del mensaje, aún nos quedarían un par de preguntas: Si no he sido yo el único destinatario del engaño, ¿cuánto dinero ha podido obtener el ciberdelincuente de sus posibles víctimas?, ¿podríamos saber quién es el extorsionador a través de la cuenta en bitcoins que nos proporcionaba? Las respuestas no resultan sencillas. Existen múltiples mecanismos para ocultar la identidad en el proceso de obtener liquidez a un monedero de bitcoins. No nos extenderemos en un aspecto que requeriría de un análisis detallado y donde el anonimato del propietario forma parte del propio concepto de la definición de la criptomoneda. Aun así, y siguiendo con el análisis planteado, no nos resignamos a comprobar cuantas personas habían podido ser víctimas reales del engaño.

  

Las operaciones sobre monederos de bitcoins son públicas y trazables, incluso aunque se desconozca su propietario. Para ello solo tenemos que acceder a Blockchain.com y realizar la consulta. Nosotros nos hemos puesto a ello, pero dejamos al lector que compruebe a cuánto asciende el éxito de la extorsión consultando la referida cuenta.

Algo más difícil, sin embargo, resulta trazar cómo se ha movido ese dinero en diferentes operaciones de cobros y pagos. Lo más habitual es que acaben en proveedores de cambio que salvo indicación gubernamental —incluso a veces con ella— no suelen proporcionar datos relativos a las conversiones de liquidez realizadas. En nuestro caso en concreto, los bitcoins extorsionados podemos decir que acabaron en Binance, uno de los múltiples operadores de criptomonedas que existen en Internet.

Como conclusión a toda esta historia, solo diremos que aquel correo pasó a la papelera, como muchos otros que desafortunadamente diariamente recibimos y que forman parte de uno de los esquemas más sencillos de ciberdelincuencia. Sin embargo, debemos admitir que aquel día, como muchas otras personas, el susto “nos lo llevamos puesto”.

Computing 793