EscucharUn ciberdelincuente puede engañar a las personas y obtener sus claves a través de una conversación o un enlace en un correo electrónico. Y ahora están utilizando nuevos y diversos métodos.
La firma de seguridad informática Eset alertó a principios de enero de un nuevo método denominado Man-in-the Middle (MitM), que puede interpretarse como “hombre en el medio”, donde el ciberdelincuente intercepta sin autorización la comunicación de los usuarios entre dos dispositivos conectados en una red.
LEA MÁS: “Cero confianza” es una de las 15 tendencias tecnológicas del 2022
El ciberdelincuente escucha la comunicación en busca de claves a cuentas bancarias o sistemas corporativos y para obtener información sensible que le permita luego engañar mediante estrategias de ingeniería social (usa datos personales o sitios web y correos similares a los oficiales para ganar confianza y engañar a la persona).
En el método de MitM el ciberdelincuente cambia la tabla de enrutamiento de las comunicaciones, algo que Eset califica como más complejo que secuestrar un enrutador del proveedor de telecomunicaciones. Además, el atacante se hace pasar por la dirección de destino de la víctima, que podría ser un enrutador u otra dirección de esa red.
Con eso puede realizar capturas de pantalla de lo que la víctima realiza en sus dispositivos, insertar un código malicioso, ejecutar procesos para abrir tráfico encriptado o insertar un código para lectura de teclado (keylogger) que captura lo que escribe la víctima. También puede realizar alteraciones de memoria cuando se usa el portapapeles (al copiar y pegar textos o imágenes) o modificar el navegador (Man-in-the-Browser).
“La mayoría de ellos (estos ataques) no muestran signos de que la víctima esté siendo atacada”, dijo Daniel Barbosa, investigador de seguridad informática de Eset Latinoamérica.
No es el único método que están empleando. “Cada momento los cibercriminales avanzan de manera audaz buscando maneras distintas de extorsionar y reconocer distintas oportunidades para robar información”, advirtió Alonso Ramírez, Comisión Ciberseguridad Colegio de Profesionales en Informática y Computación (CPIC).
Las personas y empresas deben implementar herramientas de seguridad y, en especial, mecanismos de doble autenticación en todo tipo de dispositivos y sistemas. El reto es cumplir. Según Identity Theft Resource Center, que realiza estudios en este campo, tres de cada 10 usuarios en Estados Unidos caen en las mismas trampas más de una vez.
El problema también es que la mayoría utiliza software obsoleto, tienen malas prácticas de contraseñas, usan cualquier wifi público, dan clic a cualquier correo o comunicación, no tienen sus dispositivos protegidos con programas de seguridad, visitan sitios web inseguros, brindan más datos de la cuenta sobre su trabajo y vida personal, no realizan copias de seguridad de su información ni protegen los dispositivos del hogar.
“Siempre hay que hacer una doble verificación de la fuente de que proviene ya sea por medio de correo, mensaje de texto, página web o llamada”, dijo Ricardo Massis, desarrollador regional de ciberseguridad para empresas de GBM Corp. “Es importante revisar el dominio ya que normalmente vemos que es similar al de la institución en que uno confía”.
Modalidades
Los ciberdelincuentes están utilizando varios métodos de fraude y cada vez más constantes y sofisticados.
Fluid Attacks reportó que en el 2021 aumentaron 40% los ataques semanales respecto al 2020 a nivel global. En Costa Rica se registraron más de 201 millones de intentos de ciberataques durante 2020, según Fortinet, la mayoría (78%) dirigidos a empresas.
Los principales ataques son el phishing y sus ramificaciones (entre las que se destacó el vishing) por medio de la ingeniería social, así como el secuestro de información (ransomware). Appgate, una compañía de ciberseguridad, advirtió también que los sistemas de pago generan incidentes de fraude a nivel global.
Vishing: Consiste en una llamada telefónica en la que una delincuente se hace pasar por funcionario de bancos o entidades financieras y solicita las credenciales bancarias para, en cuestión de segundos, saquear las cuentas. El término nace de la fusión de voice y phishing.
Man-in-the-Middle: Intercepción de datos en comunicaciones entre dos usuarios. “En este tipo de ataque el criminal se hace pasar como una de las partes de la comunicación y roba información y credenciales”, explicó Ramírez.
Pirámides financieras: Personas sin escrúpulos se aprovechan de las crisis financieras y los malos momentos económicos de la población para ofrecer dinero fácil.
Criptomonedas: Los ciberdelincuentes atacan a usuarios interesados en invertir en criptomonedas o los estafan con criptomonedas “falsas”.
Email Phising: Es un correo que parece venir de una fuente fiable y están diseñados para que el usuario revele sus datos personales.
Spear Phising: Es similar a lo que es el email phishing, pero —en lugar de enviar correos masivos hacia varios usuarios— está diseñado para usuarios específicos.
Whailing: Es un email phishing donde los ciberdelincuentes se hacen pasar por el CEO o gerente general con un correo similar a ellos para solicitar información confidencial.
Pharming: Tipo de phishing basado en páginas web que parecen ser legítimas para recopilar los datos de los usuarios.
Smishing: Es un ataque de phishing por medio de mensaje de texto. Los famosos mensajes notificando que un usuario “gano algo” son un ejemplo.
Nuevos malware: FluBot (troyano que se instala en dispositivos móviles para robar información bancaria), Bloody Stealer (troyano avanzado para robar cuentas de usuario en plataformas populares de distribución de videojuegos), Cobalt Strike (es una herramienta de seguridad legítima que puede ser utilizada por los cibercriminales) y Trickbot (es un tipo de troyano diseñado para robar información financiera infectando ordenadores).
Nuevas tácticas y métodos de ransomware: El ransomware continuará su ascenso meteórico y se volverá más sofisticado. Los hackers utilizarán herramientas de penetración para realizar ataques en tiempo real en las redes de las víctimas.
Ataques de fuerza bruta: En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario y de contraseñas previamente comprometidas en un software automatizado; la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia; y finalmente desbloquean cuentas (credential stuffing). O utilizan software automatizado para probar una lista de contraseñas de uso común (password spraying) o simplemente prueban las contraseñas más comunes (técnica conocida como ‘por deducción’).
| Evite ser víctima |
|---|
| Las firmas y entidades especializadas en seguridad informática recomiendan: |
| Desconfíe de redes wifi públicas y en caso de tener que utilizarlas no compartir información ni claves y tampoco descargar archivos. Nunca inicíe sesión en una cuenta si se está conectado a una red wifi pública. En caso que se deba usar una red de este tipo, use una VPN. Tenga cuidado con las miradas indiscretas por encima del hombro en espacios públicos. |
| Utilice sistemas o aplicaciones que provengan de fuentes confiables y reconocidas. Asegúrese que todos los sistemas operativos y aplicaciones están actualizados en su última versión. |
| Utilice herramientas de ciberseguridad como antimalware para prevenir amenazas. Adquiera herramientas que impidan y prevengan el uso de aplicaciones contaminadas con un malware e infiltraciones de cibercriminales en su red. Maneje herramientas de seguridad robustas que impidan todo tipo de ataques. |
| Segregar las redes y utilizar sistemas de murallas de fuego, configurar enrutadores. Integre un ecosistema de ciberseguridad o conjunto de herramientas para brindar protección antes de ser atacada y proteger, evitar que se propague y eliminar cualquier ataque. Asegure las configuraciones de puertos y redes. Los atacantes de ransomware no ocultan precisamente sus vectores de ataque y, cuando los ataques de phishing fallan, vulneran los puertos de escritorio remoto y de administración remota no seguros. |
| Cero confianza: nadie en la vida va a regalar dinero y el dinero fácil, no existe. Ningún funcionario del banco u otras entidades va a solicitar sus credenciales ni contraseña para un trámite telefónico. |
| Asegure los servicios de correo electrónico y los servidores de correo contra el phishing y la suplantación de identidad. |
| No responda los correos o mensajes que entran solicitando información confidencial o contraseñas. |
| Active la autenticación de doble factor (2FA) en todas las cuentas. Use contraseñas o frases seguras y únicas en todas las cuentas en línea, especialmente en cuentas bancarias, de correo electrónico y de redes sociales. Evite reutilizar las credenciales de inicio de sesión en varias cuentas y cometer los errores comunes de contraseñas. Utilice un gestor de contraseñas. Cambie la contraseña si un proveedor advierte que los datos están sido comprometidos |
| No haga clic en enlaces ni abra archivos adjuntos en correos electrónicos no solicitados |
| Fuente: Appgate, BlueVoyant, CPIC, Eset, Fortinet, Fluid Attacks y GBM |
