Los engaños digitales todos los días evolucionan y son más complejos de detectar, atrás quedaron las cartas con promesas o los engaños con tarjetas de amor, hoy los delincuentes usan información para que sus víctimas no detecten que son engañados, para eso utilizan temas de impacto social o político, usan el tema de actualidad, pero en algunos casos utilizan toda la información pública de la víctima para detectar gustos o temores y así generar un engaño mucho más preciso e indetectable.

Esta técnica de los delincuentes es conocida como Phishing cuando el engaño es lanzado sin ningún objetivo especifico, por ejemplo un correo masivo o u sitio web malicioso. Cuando el engaño es dirigido a una persona en especifico, se denomina spear phishing, pues el atacante obtiene la mayor información posible de una persona y crea un correo o un SMS o una llamada o un mensaje, en el que usa toda esta información para hacer que la víctima caiga en la trampa.

Sin duda, con las actuales condiciones sociales en el mundo esta técnica ha crecido exponencialmente, usando todo lo relacionado al COVID-19 como engaño para engañar a los usuario, generando así una puesta de entrada a muchos otros delitos informáticos en contra de los usuarios o de las empresas. Pero estas técnicas para algunos ataques suelen ser obsoletas o se han mejorado técnicamente, para generar aun menos probabilidad de ser detectadas.

Vamos a ver algunas de las técnicas avanzadas que están usando los delincuentes…

DeepFake es una evolución de las noticias falsas (fakenews) que utiliza el deep learning para generar videos falsos, haciendo que se vea y se escuche a una persona decir cosas que jamás ha dicho y mucho menos grabado en video, como los casos presentados en investigaciones de la Universidad de Washington usando la figura de Barack Obama en 2017, pero ¿por qué preocuparnos? 

Está técnica esta siendo usada para engañar a personas en tiempo real, haciendo que crean que hablan con alguien que realmente no es. Muchos dirán que esto es de ciencia ficción, pero el caso fue denunciado por un político letón, al que le hicieron el ataque a través de Zoom, sustituyendo a un aliado político en la conversación.

Pero no fue el único engañado por este deepfake, como lo indica The Guardian en su reportaje, donde insinuá que esta treta tecnológica fue orquestada por el gobierno ruso, para obtener información de sus detractores.

Ataques móviles, sin duda hoy casi todas las acciones digitales las hacemos a través de los dispositivos móviles, por lo tanto los delincuentes han volcado su atención a encontrar formas novedosas de usar esta herramienta tecnológica en nuestra contra. Una de las últimas técnicas de ataque es una curiosa vulnerabilidad llamada StrandHoog, que permite en dispositivos Android usar una App para reemplazar  otra en el mismo móvil y así generar un phishing casi indetectable.

No es nuevo que los delincuentes estén usando aplicaciones para generar engaños masivos, desde hace ya varios años hemos contado como se aprovechan de la poca información que entregan los navegadores móviles o de como no es posible ver el uso de certificados de seguridad. También se han visto casos más avanzados donde con una aplicación hacen que el usuario no conozca realmente a que le esta haciendo click en el fondo de la pantalla, como clock and dagger.

Pero este mecanismo actual, es mucho más complejo de detectar y esta siendo usado en ataques dirigidos, aprovechando información obtenida en Internet o en fugas de información. La aplicación maliciosa no es detectable por ningún sistema y al no pedir permisos especiales, puede ser camuflada en cualquier juego o app que reciba por algún medio que no sea la tienda oficial de Google.

Es así como el usuario al ejecutar la aplicación, esta aprovecha la vulnerabilidad del sistema para reemplazar la visualización de cualquier aplicación dentro del móvil y así obtener los datos que se digiten para esta, un ejemplo seria sustituir el inicio de una aplicación financiera, obtener los datos de ingreso y una vez el delincuente los tiene, dejar que la víctima crea que entro a su aplicación sin darse cuenta que sus datos de ingreso fueron capturados por la App falsa y enviados al atacante.

Esta vulnerabilidad afecta a casi todos los dispositivos Android que están activos y el parche de seguridad que la corrige será puesto a disposición de los usuarios en mayo, pero depende de como se distribuya por parte de los fabricantes, que este pueda o no ser instalado por los usuarios.

Ahora quien podrá defendernos …

En realidad es responsabilidad de nosotros mismos el protegernos y tener buenas practicas de higiene digital, las cuales en su mayoría quienes trabajamos en ciberseguridad llevamos diciendo desde hace muchos años. Sin embargo, no todos los usuarios siguen las recomendaciones o algunas pautas básicas, por eso vamos a ver algunas de las recomendaciones básicas que todos deberíamos aplicar en nuestro entorno digital.

  1. Revise el emisor del mensaje, no crea en lo que se ve a primera vista, ya sea la misma imagen que usa su contacto o que a simple vista parezca el correo del contacto, es necesario siempre validar detenidamente el origen de cada mensaje que se recibe.
  2. Valide los adjuntos, nunca abra un archivo que reciba directamente sin un previo análisis por un sistema de seguridad. No siempre los antivirus detectan amenazas, sobre todo con las nuevas técnicas de embeber los ataques usando sistemas legítimos de los equipos, una recomendaciones que si es un adjunto en pdf, word, excel o powerpoint, use DIARIO para detectar estas nuevas amenazas.
  3. No siga los enlaces sin validar realmente que son, actualmente usar recortadores de enlaces dificulta mucho que el usuario sepa realmente a donde lo dirige un enlace, por lo que antes de hacer click en cualquiera de estos es bueno ver a donde lo dirige usando el navegador, pero si no conoce como hacerlo puede copiar el enlace y pegarlo en Should I Click or not? Y este servicio web le dirá si este servicios es o no una amenaza para su seguridad.
  4. Jamás instale aplicaciones en su móvil que le llegan por correo o por mensajería instantánea o por SMS, en el 80% de los casos contienen malware que buscan su información o usar su dispositivo para otro tipo de ataque. Además siempre valide si es o no necesario la instalación de esta aplicación.
  5. Mantenga actualizados todos sus dispositivos y aplicaciones, esto mitiga que los delincuentes puedan usar vulnerabilidades conocidas en su contra.

About Author

Diego Samuel Espitia Montenegro

Diego Samuel Espitia Montenegro es Colombiano, egresado como ingeniero electrónico y especialista en seguridad de redes con más de 12 años de experiencia en el proceso de prueba y la implementación de infraestructura de seguridad de redes, donde ha implementado principalmente software de código abierto para el desarrollo de esquemas de redes seguras. Diego trabaja actualmente como Chief Security Ambassador en ElevenPaths (Unidad de Ciberseguridad de Telefónica). Es investigador de seguridad y publica artículos sobre diferentes temas de seguridad de la información. Ha sido ponente internacional en diferentes conferencias de seguridad y conferencias de negocios, donde ha presentado sus investigaciones en eventos como 8dot8 Chile, Bsides CO, SegurInfo, Colombia StartUp, Andicom y convenciones de negocios.

Deja un comentario