¿Cualquiera puede hackear?
11 de mayo de 2020
Lea aquí la primera parte de este artículo, "¿Cómo aprovechan los ciberdelincuentes la crisis del coronavirus?"
¿Realmente cualquiera "con poco o ningún conocimiento sobre cómo funcionan realmente" los exploits puede acceder a la "internet oscura" y utilizarlos para realizar ataques informáticos? El hacker colombiano Diego Espitia nos explica que no es tan fácil. "Es verdad que en la dark web se pueden adquirir exploits programados de forma que sea muy sencillo lanzarlos a un ataque, pero no necesariamente sin ningún conocimiento, ya sea técnico o del objetivo", dice a través de un chat desde Bogotá.
Y, aclara, que tampoco hay que ir a la internet oscura para encontrar estas herramientas: "el mejor ejemplo es Metasploit, que es un framework para pentest avanzado con varios exploits listos para su uso". En este caso, se trata de un servicio para analistas de seguridad que, como él, que trabaja como CSA en ElevenPaths, la unidad de ciberseguridad de Telefónica, buscan vulnerabilidades en los sistemas informáticos para repararlas.
¿Qué hacen las bandas criminales durante la pandemia?
En cualquier caso, es un peligro a tener en cuenta el hecho de que las bandas tradicionales de delincuentes, ante la menor cantidad de víctimas en las calles, los comercios cerrados y la mayor presencia policial, busquen en el mundo digital nuevas opciones para delinquir. "En Colombia existen bandas delincuenciales exclusivamente para internet", explica Espitia. Pero no se pueden descartar alianzas con otras ramas del crimen organizado. Lo que sí "se ha confirmado –añade– es que en Colombia existen alianzas con bandas de Brasil y México, sobre todo para ataques al sector financiero y sus usuarios".
En un artículo titulado "TypoSquatting: usando tu cerebro para engañarte", el propio Espitia explica una de las técnicas que usan los delincuentes para que caigamos en la estafa. "Las campañas de phishing usan estas pequeñas alteraciones del texto para engañar a los usuarios, siendo muy efectivas si son asociadas a sensaciones de miedo o de afectación económica", escribe, explicando que a esto es a lo que se denomina 'TypoSquatting'.
"Por ejemplo, si te llega un mensaje que dice 'www.gooogle.com' tú no te das cuenta que 'goooge' tiene tres 'o' en lugar de las dos que tiene el sitio auténtico". Y pone otro ejemplo real, con un mensaje en el que se copiaba la url de un banco colombiano, pero con una extensión distinta, redireccionando a la página de los estafadores. "Con la actual crisis sanitaria generada por la COVID-19, el uso de esta técnica ha aumentado significativamente", explica Espitia, para quien "la tormenta de eventos suscitados por la pandemia" es para los delincuentes "el momento perfecto para usar todos los mecanismos que tienen a su disposición".
Suscríbete a nuestro boletín especial sobre el coronavirus y pulsa aquí.
Y advierte que una de las entidades más utilizada "para generar estos engaños es la Organización mundial de la Salud, que tuvo que publicar un comunicado expreso de ciberseguridad".
¿Estamos concienciados de la importancia de la seguridad informática?
Para Ariel Barbosa, director de Proyectos de Tecnología en la Escuela de Seguridad Digital Colnodo, en Colombia, la pandemia y las medidas de confinamiento y teletrabajo "aumentan los niveles de riesgo que ya desde hace varios años hemos evidenciado y es la poca o nula formación y preparación en seguridad digital de sociedad civil en general". Él lleva cinco año organizando talleres para enseñar medidas contra el ciberdelito. "Se asume que internet es seguro de por sí, o que la seguridad es responsabilidad de otros, de los proveedores, del Estado... pero no es algo por lo que se deban preocupar" los usuarios, se lamenta.
Y advierte de que "los niveles de sofisticación para el engaño son cada vez más llamativos, apelando en la mayoría de los casos a las emociones humanas (miedo, felicidad, solidaridad, etcétera) para que las personas tengan una reacción inmediata al mensaje y hagan lo que solicita el mismo". Los correos o mensajes masivos son la amenaza más habitual actualmente. "Para un delincuente -explica Barbosa- el phishing es muy efectivo pues es relativamente económico montar uno de estos engaños y la cantidad de personas que pueden caer es muy alta".
"Sin embargo, no se descarta en un futuro el uso de tecnologías más costosas, como inteligencia artificial para engañar con audios o videos falsos", alerta Barbosa, quien insiste en que "existe un gran vacío en sensibilización y educación práctica en lo relacionado con la seguridad digital para la ciudadanía en general". Un vacío que trata de ayudar a llenar desde su escuela de seguridad digital.
De los fraudes más absurdos a los más estudiados
El jefe de operaciones de la Unidad de Delitos Informáticos de la Guardia Civil, comandante Óscar de la Cruz, hace un paralelismo para explicarlo: "Igual que en la delincuencia clásica, tienes gente que solo sabe abrir un coche rompiendo el cristal, pero luego tienes grupos que controlan de electrónica, cogen un aparato, te lo enchufan al puerto de comunicación del coche y se lo llevan... pues en el mundo digital pasa lo mismo".
Efectivamente, hay intentos de estafa "que en cuanto lees el correo ves que está traducido con Google Translate", por ejemplo, o en el caso de las 'cartas nigerianas' anunciando una herencia "que ya no se cree nadie"; pero luego tienes grupos criminales "que técnicamente son muy buenos y si van a hacer ataques a un país cuyo idioma no controlan contratan traductores que les hagan los textos". "Eso ya depende del nivel de sofisticación y profesionalidad de cada grupo", concluye.
Por ejemplo, a una gran empresa española le estafaron una suma considerable recientemente. Los delincuentes falsearon un correo electrónico, como una respuesta a un hilo real de correos intercambiados con un proveedor, en el que este supuestamente pedía que los pagos se realizaran a una nueva cuenta bancaria. El engaño estaba tan bien montado que ahora dirimen a quién corresponde asumir las pérdidas.
¿La punta del iceberg?
Otro de los problemas adicionales es que el número de ataques informáticos y de estafas puede ser muy superior al que realmente se denuncia. Muchas empresas pueden preferir no hacer público que han sufrido una estafa o una incursión fraudulenta en sus sistemas. "Sí, así es, lo que pasa es que poco a poco eso está cambiando, porque cada vez más la legislación les obliga a hacer públicas las intrusiones, sobre todo si ha habido o ha podido haber fuga de datos de carácter personal es obligatorio reportarlo", explica el comandante De la Cruz.
En muchos ataques, explica, "la propia víctima no sabe muy bien qué ha pasado, si se han podido llevar información confidencial o no". Y "en previsión de que pueda haber una filtración de esos datos casi prefieren una explosión controlada al principio, por así decirlo, con una buena política de comunicación, que no callárselo, barrer debajo de la alfombra y que luego dentro de un año de pronto aparezca en la dark web un listado de clientes o lo que sea". Admite que hay "casos que no se denuncian, sobre todo por evitar daños en la reputación... pero como tampoco nos enteramos, no se puede cuantificar ni decir qué porcentaje es".
Sobre las medidas para evitar este tipo de estafas durante la pandemia, recomienda seguir "las habituales y, en específico, desconfiar directamente de cualquier tipo de contenido que no hayamos solicitado, nos llegue vía correo electrónico, de mensaje o de WhatsApp relacionado con la COVID-19... porque precisamente es el cebo que más están utilizando ahora los ciberdelincuentes para conseguir engañar a la gente".
(few)
Deutsche Welle es la emisora internacional de Alemania y produce periodismo independiente en 30 idiomas. Síganos en Facebook | Twitter | YouTube |