Las herramientas de conectividad que nos facilitan la vida personal y laboral nos ofrecen una gran variedad de posibilidades que ni siquiera imaginábamos hace una década. Pero cuando las personas no tienen claro cómo protegerse en Internet, las mismas herramientas pueden convertirlas en víctimas de una variedad igualmente amplia de delitos.
En los tres casos a continuación, les contaremos la historia de tres de esas personas, que por no mantenerse informadas fueron víctimas de diferentes delitos: ransomware, fraudes bancarios y suplantación de identidad. Como consecuencia, quedaron al borde de caer en la quiebra, de perder su empleo o de sufrir de una pésima reputación en redes sociales.
Un ransomware que quería zanahorias
En un medio de comunicación digital en Colombia, la imprudencia de un usuario llevó a toda la empresa a ser víctima del ransomware Bad Rabbit (conejo malo). Este ransomware, caracterizado por ser ágil y masivo, no tuvo piedad del servidor donde estaba toda la información de la compañía.
Vamos desde el principio. Uno de los integrantes del medio navegó por Internet desde el computador que tenía el acceso directo al servidor. Sin conocer las consecuencias, validó la ejecución de un supuesto reproductor Flash para ver contenidos multimedia. Así fue como la víctima abrió la puerta para que ‘el conejo’ entrara en el sistema que no contaba con las actualizaciones de seguridad más recientes. Aprovechando el desorden, se infiltró en el sistema y ejecutó el ransomware en el servidor, quizá ‘buscando zanahorias’. El resultado fue la encriptación de documentos con copias de seguridad y bases de datos en Excel y Word.
El ransomware dejó un aviso en los escritorios de los computadores. En cortas y contundentes frases indicaba qué debían hacer los afectados si querían recuperar su información. Daba el número del caso y solicitaba no activar herramientas de terceros para descifrar la información. A su vez, les sugería contactarse en las próximas 24 horas por correo electrónico para iniciar el rescate de la información.
¿Qué hicieron? No contactar al delincuente para evitar ser estafados con la supuesta recompensa que pedía. Después, desconectaron el servidor de la red, instalaron nuevamente todos los programas, cambiaron contraseñas y alejaron la máquina de los funcionarios para evitar la infección de un dispositivo externo.
Evitar en la vida no es cobardía
Miguel Ángel Mendoza, investigador de seguridad de ESET, analizó el problema y nos brindó algunos consejos para evitar este tipo de ataques en empresas y hogares. “En Internet se puede ser víctima en cuestión de segundos. Por eso es importante tener todos los sistemas actualizados para evitar problemas. Cuando no actualizamos, le abrimos la puerta al atacante para que haga daños”, resaltó.
Entre sus recomendaciones, Mendoza aseguró que solo una de cada diez personas tiene sistemas antimalware en sus equipos. Además, esta conducta se debe a que consideran estos servicios como lujos innecesarios, sin tener en cuenta que cada día se crean 300 nuevos tipos de malware.
Pagar o no pagar, he ahí el dilema
Lucas Paus, otro integrante del equipo investigador de seguridad de ESET, aconsejó que no se debe pagar por el rescate de la información. Entre sus tantas razones está la posibilidad de no recibir nada a cambio o, por el contrario, de sufrir otros ataques a futuro. “Quienes pagan por una llave para descifrar la información no saben si recibirán la ayuda. Además, son incluidos en listas donde los catalogan como ‘buenos clientes’. A estas listas acceden los ciberdelincuentes, quienes envían otro ataque para obtener más dinero de la misma víctima”, destacó.
Una de las soluciones, además de los protocolos de seguridad, es acceder a herramientas gratuitas y seguras encargadas de descifrar la información. En la actualidad hay una página llamada ‘No more ransom!‘. Allí, las víctimas encuentran una biblioteca con programas gratuitos y específicos para cada tipo de ransomware. Basta con eliminar el malware previamente con un antivirus, descargar la solución y ejecutarla para decir ¡hasta la vista, conejo!
El ‘zar’ de las tarjetas de crédito
¿Hasta dónde pueden llegar los delincuentes por robar dinero? Si has recibido un correo de un ‘rey de Arabia’ que te regalará 300 millones de euros, eres de los nuestros. Si te llegan mensajes de ‘compañías’ que piden tus datos personales, también. Estos casos son conocidos como phishing. Un delincuente detrás de un computador envía un mensaje por correo electrónico. En este asegura representar a una empresa o una persona. Y como ya lo expliqué, su anzuelo es hacerles creer a sus víctimas que recibirán una herencia o que tienen saldos pendientes con empresas.
¿Pero qué pensarías si te dijera que, en este caso, un hombre se vestía de mujer para engañar y robar? Esto le sucedió en Estados Unidos a una mujer que trabajaba en una joyería como vendedora. Allí conoció a una supuesta integrante de una firma de finca raíz en Miami, Florida. Al conocer su profesión le pidió ayuda para conseguir una propiedad en dicha ciudad.
Ella respondió que sí, siempre y cuando le diera una copia de su seguro social y su licencia de conducción para los trámites. Para no levantar sospechas después de obtenerlos, la supuesta asesora de finca raíz acudía a la joyería para decirle cómo iba el proceso. Al mismo tiempo, adquiría lujosas joyas para sus atuendos con otras tarjetas ya clonadas.
No eres tú, ¿soy yo?
Un mes después de haberle entregado los papeles, el fraude salió a la luz. La víctima encontró en su correo un extracto de una tarjeta American Express con 15 mil dólares en compras. De acuerdo con el documento, ella había comprado joyas, relojes Rolex. También se había hospedado en los mejores hoteles de la ciudad.
Ella jamás tuvo una tarjeta de ese banco. Tres meses después la investigación dio como resultado que, quien había prometido ayudarle a conseguir la propiedad, usó los datos de sus documentos para obtener una tarjeta con su nombre. El delincuente se vestía de mujer para aparentar ser otra persona y así sacar provecho de varias tarjetas obtenidas con el mismo método.
Pero no era la primera vez que lo hacía. Según las autoridades, el delincuente pertenecía a una organización con más hombres que hacían lo mismo. Sí, algo así como la banda de los zares de las tarjetas de crédito. Afortunadamente no tuvo que pagar nada, ya que el seguro respondió por los gastos. “Gracias a ese correo electrónico me pude dar cuenta de lo que estaba pasando”, dijo.
Una notificación te puede salvar de estos delitos
Roberto Martínez, analista de seguridad del equipo global de investigación y análisis de Kaspersky Lab, resaltó la importancia de las notificaciones. “A veces los clientes de los bancos caen en el error de considerar como basura las notificaciones de los bancos. Grave error, porque estas sirven para detener transacciones o mantener el control financiero de nuestras cuentas. En este caso, el envío del extracto al correo de la víctima fue crucial para evitar un robo mayor. Recibir mensajes de texto, correos con alertas o llamadas es vital para la salud financiera en tiempos de tanta suplantación”, aseveró.
Por otra parte, el experto destacó que las cuentas bancarias también pueden ser atacadas a través de los dispositivos móviles que tienen las aplicaciones de las entidades financieras. Para evitar esto, pidió que sus usuarios tengan instalados sistemas de protección contra virus. También invitó a no descargar aplicaciones por fuera de las tiendas oficiales de cada sistema operativo.
¡Facebook, esa cuenta no es mía!
Y por último está uno de los delitos más frecuentes de la era moderna: suplantación de identidad en Facebook. Nunca se sabe quién puede robarnos una foto y crear un perfil. Pero no solo las fotos pueden ser robadas. Aquí también caben nuestros nombres o incluso nuestro correo con el que accedemos.
Pues esto le sucedió a una mujer que trabajó como recepcionista en una cadena de hoteles. En su computador mantenía abierto su correo electrónico personal con dominio en Gmail. Un día le pidió a su amiga que colocara su correo electrónico en la barra de búsquedas de Facebook para ver si aparecía algo. Efectivamente, había un perfil con la foto de un hombre creado a partir de su dominio de correo.
“Creé mi primera cuenta en Facebook, agregué a ese perfil falso y le pedí que cerrara la cuenta”, comentó. A pesar de hacerlo por varias semanas, nunca recibió una respuesta. Así que decidió interponer la queja en el centro de ayudas de Facebook y pidió que se cerrara ese perfil por suplantación de identidad. Lastimosamente, la red social le respondió que su caso no aplicaba para la denuncia, ya que no usaba sus fotos o su nombre.
Guerra de contraseñas
Angustiada, la recepcionista cambió la clave de acceso por medio de ‘Olvidé mi contraseña’. Lo que no esperaba era que el victimario la cambiara al día siguiente. “Fueron dos meses cambiando la contraseña. Luego, gracias a un correo de Gmail, conocí la verificación de dos pasos. La activé por SMS y ahora tengo el control de la cuenta”, explicó. Recordemos que la verificación de dos pasos consiste en una segunda contraseña que vence cada 30 segundos y es suministrada por una app (Google Authenticator) o por SMS (mensajes de texto).
En su actividad, quien creó el perfil falso vivía en la Guyana Francesa y subía selfies en diferentes locaciones. Agregó a 116 personas y algunas le escribían por Messenger preguntándole qué había pasado con él.
Doble verificación, doble seguridad y cero delitos
Retomando las entrevistas con los investigadores de ESET y Kaspersky, tanto Miguel Ángel Mendoza como Roberto Martínez coinciden en que estos delitos se pueden evitar con una correcta cultura del cuidado digital. Mendoza recomienda tener contraseñas fáciles para el usuario y complejas para los atacantes. Esto se logra con frases o palabras extensas que contengan comas, asteriscos, mayúsculas y números (D0Bl3V3R1f¡C4c*0N). Pero, si el atacante llega a descifrar la contraseña, la doble verificación será la barrera que evitará de una vez por toda el acceso a la cuenta.
En cambio Martínez manifestó que la doble verificación es válida siempre y cuando no sea por SMS. “Quienes utilizan este método quedan igual de expuestos como si no la tuvieran. Recordemos que las líneas telefónicas pueden ser clonadas, por lo que la clave de acceso por el SMS le llegaría a terceros”.
El código se autodestruirá en 5, 4, 3…
En Facebook, además, el usuario obtiene varios códigos que son usados como llaves en el proceso de verificación de dos pasos. Estos solo pueden usarse una vez y deben ser guardados en un lugar seguro donde no puedan ser robados. “No podemos llevarlos en nuestra billetera o agenda porque es fácil perderlos. Yo les recomiendo usar dispositivos de almacenamiento como una USB que se mantenga en un lugar seguro de la casa. O si queremos llevarlas siempre con nosotros, existen servicios de cloud muy seguros donde las pueden guardar”, enfatizó Martínez.
Por último, Mendoza reiteró que la privacidad de la información en redes sociales es vital para evitar este tipo de delitos. “Los usuarios deben limitar el acceso de terceros a su información si no son contactos conocidos. Y también es importante no agregar a personas desconocidas que tengan acceso a nuestra información entendida como fotos, nombre, direcciones y demás”.
Y tú, ¿cómo te proteges de los delitos en Internet? Cuéntanos en los comentarios.
Imágenes: iStock
“En cambio Martínez manifestó que la doble verificación es válida siempre
y cuando no sea por SMS. “Quienes utilizan este método quedan igual de
expuestos como si no la tuvieran. Recordemos que las líneas telefónicas
pueden ser clonadas, por lo que la clave de acceso por el SMS le
llegaría a terceros”.
Me da la impresión que el consultor es alguien que repite lo que le enseñaron hace años, y que con eso pensó que ya tenía su carrera asegurada. la alternativa, que la segunda clave le llegue por correo.s i lee el correo en el mismo computador que ya está infectado, de qué sirve? por otro lado, lo de lconar teléfonos, eso lo aprendió en algún lado cuando todavía se usaban las panelas nokia, antes del gsm? tal vez se pueda clonar gsm, pero no es tan trivial como clonar las tecnologías anteriores, y para eso requeriría cierta complicidad por parte de los operadores. suena como algo que se decía hace unos 20 años y alguien lo sigue repitiendo sin contar con el entorno actual. por cierto, las ips también se pueden clonar (y sin aparatos raros, simplemente diciéndole al computador qué ip voy a usar); también existenc osas como programas para chismear en la red, así que recibir tanto la autenticación inicial como la segunda clave por el mismo canal, pues no suena como una mejor alternativa. mal ese comentario