OpiniónSeguridad

Las infinitas caras del phishing

Juanjo Galán, Business Strategy de All4Sec.

Desde hacer varios meses las noticias sobre el Covid-19 se solapan unas frente a otras. Los abstractos datos estadísticos recogen diariamente el número de personas contagiadas, los enfermos fallecidos o las tasas de propagación del virus. Junto a ellos, un largo repertorio de indicadores -leídos en su conjunto- remueven nuestras conciencias.

Cada día, asistimos a las reacciones de gobiernos, empresas y organismos públicos, que, casi hora a hora y con los mecanismos que tienen a su disposición, articulan medidas dirigidas a combatir esta terrible pandemia.

La ansiedad como palanca

La realidad es que el Covid-19 nos ha hecho sentir vulnerables. Y esa vulnerabilidad es la que están aprovechando los ciberdelincuentes para conseguir sus despreciables objetivos. Y decimos despreciables porque no hay peor delito que el que se perpetra contra la salud y la vida de las personas.

Los delincuentes han hecho del miedo y la ansiedad el mejor aliado para cometer sus fechorías. Recientemente nos levantábamos con la noticia de que un ransomware, conocido como NetWalker, había atacado a los sistemas informáticos de los centros hospitalarios en varios países en un intento por paralizar sus servicios. Pero no ha sido el único. Según la información recogida recientemente por Google, los Web de phishing entre enero y marzo de 2020 han experimentado un crecimiento de casi un 350% hasta superar el medio millón el pasado viernes. Más de 300.000 dominios de Internet sospechosos se han creado solo en los últimos 15 días. Y la solicitud de certificados para proveer servicios HTTPS (los considerados seguros para los usuarios) se ha incrementado durante las últimas 3 semanas más de 20 veces respecto al mes anterior. Solo a modo de ejemplo, hace apenas unos días, el 1 de abril, se calculaba que en España se recibían más de 200.000 ataques online por hora.

Confinamiento y teletrabajo

¿Y los ciudadanos, qué? —se preguntarán algunos. Nosotros permanecemos en medio, guiados por lo que nos solicitan hacer (salir poco de nuestros domicilios, mantener la distancia con otras personas, acentuar las medidas de higiene…) casi sin rechistar. Llevados al extremo, durante estos días más de uno se habrá sentido como una marioneta en manos de terceros.

El confinamiento de la población en España para frenar la propagación del virus ha disparado la utilización de la tecnología. Pareciera como si nuestra relación con el mundo se hubiera concentrado en servicios a través de Internet. Y ¡qué mejor entorno para la propagación!

El teletrabajo, las videoconferencias familiares, los videojuegos, las plataformas de televisión, o el uso de redes sociales han impulsado un tipo de ataque, el phishing, que con ese “caldo de cultivo” se ha convertido en una nueva pandemia virtual. De hecho, muchas son las variantes de phishing que han proliferado en las últimas semanas con el objetivo de sacar provecho de esta Internet-dependencia a la que nos vemos abocados.

Un listado incompleto…

Por eso, desde estas líneas queremos enumerar solo algunas de las técnicas de phishing que están siendo más utilizadas en estas semanas. Técnicas que desgraciadamente también tienen una elevada tasa de contagio.

Obviamente la lista no puede ser exhaustiva, en tanto y en cuanto evoluciona día a día[1]. Sin embargo, sí que creemos que es suficientemente representativa de los tipos de ataque en forma de ingeniería social que circulan por Internet. Aquí va nuestra recopilación de las principales estrategias utilizadas por los ciberdelincuentes.

  • Supuestos mensajes de “expertos” que ofrecen sus recomendaciones y soluciones ante el virus a precios irrisorios.
  • Solicitudes de ayudas y colaboraciones económica para diferentes colectivos —principalmente sanitarios o de población desfavorecida— a través de peticiones en redes sociales o correo electrónicos masivos.
  • Mensajes SMS, aparentemente de organismos públicos y entidades financieras, que a través de links solicitan datos personales u ofrecen ayudas económicas o de cobertura laboral para momentos de dificultad.
  • Vendedores de productos sanadores o de primera necesidad en condiciones muy atractivas.
  • Supuestos videos con información relevante para combatir la pandemia que ocultan ataques de ransomware.
  • Ofertas de trabajo para incorporación inmediata con el objetivo de atender servicios indispensables y que realmente solo recopilan datos personales.
  • Servicios de soporte técnico (energético, informático, etc.) con requisitos que nos obligan a permitirles acceder a nuestros equipos personales.
  • Envíos de presuntos cupones de descuento para compras de primera necesidad que ocultan malware.
  • Información privilegiada sobre propagación del virus en las zonas de proximidad a cambio de pequeñas cantidades de dinero.
  • Amenazas con publicar información aparentemente delicada o incluso contagiar a familiares si no se abona una cierta cantidad de dinero.
  • Tradicionales “cartas nigerianas” sobre fallecimiento de allegados desconocidos con herencias que podemos reclamar.
  • Noticias falsas que nos impulsen a tomar acciones precipitadas y erróneas.
  • Plugins maliciosos para el uso en los navegadores web relacionados con el Covid-19.
  • Vulnerabilidades de herramientas de comunicación en redes sociales que permiten acceder a comunicaciones privadas.

A estos elementos debemos unir otros que pueden hacer los engaños más creíbles. Combinados, contribuyen a su objetivo de ganarse la credibilidad del usuario. Entre estos recursos están:

  • Supuestos beneficios fiscales en la próxima declaración de la renta que acaba de iniciarse.
  • Descargas de aplicaciones adaptadas a afectados por el Covid-19.
  • Devoluciones de subscripciones a servicios o productos no consumidos durante el periodo de confinamiento.
  • Cancelaciones de reservas hoteleras.

Si continuáramos, la lista posiblemente se haría infinita, porque infinitas son las formas que tienen de maquinar los ciberdelincuentes.

 


 

¿Cómo podemos evitarlo?

Pero no estamos indefensos. O al menos, no deberíamos sentirnos así. Al igual que los científicos vienen haciendo con el Covid-19, los usuarios de Internet también podemos investigar el “virus del phishing”. Principalmente debemos, más que nunca, mantenernos alerta. Debemos “estudiar y analizar los patrones de propagación” que estas técnicas emplean y en caso de duda poner los mensajes en cuarentena. De esta forma, si somos capaces de inhibir el efecto del virus y/o su propagación estaremos contribuyendo a extirparlo[1].

  • Cuando recibamos un mensaje, por los mecanismos que fueren, en primer lugar y más importante, debemos identificar su verdadero origen. En la mayor parte de las ocasiones existen imperceptibles diferencias en cuanto al que sería el origen real del emisor. Por eso siempre es recomendable acceder al origen aparente del mensaje por medios alternativos. Por ejemplo, si se recibe un correo o SMS del banco o de un organismo público, es preferible ponerse en contacto con ellos por otros medios contrastados que responder de forma inmediata a la solicitud que nos realizan.
  • Cualquier mensaje que pueda parecer “demasiado bueno para ser cierto” o que reclame nuestra participación urgente debe ser puesto en cuarentena. Resultará indispensable comprobar la información recibida y evitar caer en la tentación de reacciones precipitadas como descargar un fichero adjunto o conectarnos a la dirección de Internet que nos sugieren. Esta cautela será particularmente relevante cuando utilicemos teléfonos móviles, por ejemplo, si alguien sugiere descargarnos una aplicación determinada.
  • Y por supuesto, debemos disponer de herramientas de protección en nuestros dispositivos que llegado el caso puedan detectar el problema y bloquearlo.
  • Ocurre lo mismo con las noticias falsas. Las cadenas de mensajes que causan alarma entre nuestros contactos son también una forma de “contagio” del virus. La inquietud que pueden causar resulta en ocasiones más dañina que muchos otros ataques. La lectura sosegada y reflexiva de estos mensajes ciertamente ayudará a discriminar su veracidad. 

En definitiva, debemos actuar de forma precavida, al igual que somos precavidos cuando en estos días tenemos que salir a realizar una compra o una gestión ineludible. Llegado el caso, quizás deberíamos aplicar a algunos de estos servicios de Internet la misma máxima que todos estamos siguiendo en nuestros hogares: #Quédateencasa.

 


[1]https://www.eff.org/deeplinks/2020/03/phishing-time-covid-19-how-recognize-malicious-coronavirus-phishing-scams

Computing 795