Smishing y otras nuevas modalidades de ataques informáticos

La compañía de seguridad Eset presentó un análisis sobre las campañas renovadas de ingeniería social que se están llevando a cabo en diferentes partes del mundo. Eset define la ingeniería social como “la manipulación psicológica para que voluntariamente la víctima brinde información personal o realice algún acto que ponga a su propio sistema en riesgo. Suele utilizarse para obtener contraseñas, números de tarjetas de crédito o PIN, entre otros datos”.

La diferencia esta vez, según los analistas de Eset, es que estas campañas están aprovechando técnicas conocidas hace un tiempo para alcanzar a cada vez más usuarios. Aquí les presentamos algunos de los casos estudiados.

Casos de estudio

Desde el laboratorio de investigación de Eset Latinoamérica se analizaron dos casos recientes. En cada uno se repasó cómo funcionan estas viejas técnicas, combinadas ahora con novedosos engaños que tienen como objetivo convertirse en señuelos más atractivos para sus víctimas.

Caso 1: ‘Smishing’

El smishing es una técnica que se presenta cuando una víctima recibe un mensaje de texto (SMS) en el cual es inducida a ingresar a un enlace malicioso. Los pretextos pueden ser una cuenta suspendida, el restablecimiento de una contraseña o un acceso indebido a una cuenta. El estafador se hace pasar por una entidad conocida, como un banco o una empresa. Así como un ciberdelincuente puede enviar un correo apócrifo, que aparentemente proviene desde una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes.

Este tipo de técnica suele ligarse a la ingeniería social, ya que busca obtener contraseñas o información crítica del usuario, pero no suele propagar códigos maliciosos.

Caso 1: Banamex

Uno de los casos de smishing que se propagó recientemente entre usuarios de Latinoamérica fue el de Banamex, el cual tenía como pretexto desbloquear una cuenta de este banco.

En el cuerpo del mensaje se advierte al receptor que podrá confirmar su identidad haciendo clic en el enlace proporcionado. Cuando Eset analizó la actividad que tuvo la página de destino, se evidenció que alcanzó más de mil clics en solo un día y luego permaneció inactiva en las siguientes semanas.

“Quienes ingresaran sus datos personales y/o su contraseña de home banking las estaban enviando en realidad a los cibercriminales. Esto nos recuerda nuevamente la importancia de utilizar el doble factor de autenticación”, aseguró Lucas Paus, especialista en seguridad informática de Eset Latinoamérica.

De estar activa, esta medida evita que el estafador pueda acceder a la cuenta, porque por mas de que tenga la contraseña, le hará falta el segundo factor para iniciar sesión, el cual se envía al usuario por otro medio (SMS, notificación o token) y es de uso único.

Caso 2: Phishing redirect con archivos adjuntos

Este es un ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima. El estafador se hace pasar por una persona o empresa de confianza, utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.

Aunque la estafa se propaga por correo electrónico los teléfonos celulares intervienen como canal secundario. El siguiente ejemplo, relacionado con PayPal y el cual ocurrió hace unos meses, dejar ver cómo funciona esta clase de ataque:

El correo simula ser una comunicación proveniente de PayPal, y si bien la dirección de origen parece ser [email protected], es fácil distinguir que es en realidad un alias de otra dirección con un dominio desconocido. El pretexto del engaño es un clásico problema con la información de la cuenta, en este caso un cambio en el número de teléfono asociado. Curiosamente, el mensaje no contiene un enlace, sino un archivo adjunto. En su interior, se induce al usuario a visitar un sitio web. El mismo es malicioso y lo llevará a un sitio web que imita al original de PayPal, en el cual se solicitaran las credenciales de acceso.

“De nuevo, utilizar el teléfono móvil como un segundo factor de autenticación es una gran medida de seguridad”, concluyó Paus.

Recomendaciones

Si recibes mensajes extraños y tienes dudas sobre su veracidad, Eset acerca estos tres consejos para estar más alerta y reconocer una estafa:

– Tener especial cuidado con mensajes que dicen provenir de entidades financieras o promociones que incluyan un enlace web, una petición urgente o que induzcan a compartir ese enlace. La mayoría de las veces son estafas, y la mejor manera de comprobarlo es comunicarse con la entidad para confirmarlo.

– Prestar atención al comportamiento anómalo en el teléfono, como llamadas o SMS a números desconocidos en el historial, un bajo rendimiento del equipo y alto consumo de la batería, o incluso reinicios inesperados.

– Revisar las cuentas periódicamente, tanto de factura telefónica, que puede incrementarse rápidamente por suscripción a servicios de SMS Premium, como los gastos de la tarjeta, que pueden aumentar si lograron robarte tus credenciales mediante un software espía.

Imagen: Pexels

Ana María Luzardo

Ana María Luzardo

Nunca me imaginé escribiendo sobre tecnología, ya que mi vida transcurría entre textos de sociología y política, caminatas a las montañas del Quindío y danzas afro. Sin embargo, amo la multiculturalidad y -debido a que no hay nada más entretenido, colorido y diverso que la relación del ser humano con la tecnología- qué mejor lugar para percibir y vivir esa diversidad que ENTER.CO. Soy comunicadora social-periodista de la Universidad del Quindío.

View all posts

Archivos