La Empresa de Consultoría y Seguridad Informática (Segurmática) ha confirmado la realización de un ataque de ingeniería social en nuestro país a partir de la suplantación de identidad de Etecsa con supuestos regalos que derivaron en la pérdida de saldo para algunos usuarios. ¿Cómo evitar caer en estas redes de engaños?
Probablemente en las jornadas previas al Día Internacional de la Mujer usted recibió un mensaje de alguno de sus contactos invitándolo a participar en un «sorteo de Etecsa» mediante el cual se obtendrían jugosos «premios», como parte de una «acción» de la Empresa de Telecomunicaciones de Cuba S.A. en saludo a la icónica fecha.
Sinceramente espero que no haya seguido ese bulo que suplantó la identidad de nuestro operador de telecomunicaciones, aunque sé de primera mano que algunos de mis contactos sí lo hicieron, pues me enviaron la invitación al «sorteo».
Lo sucedido se trató de una operación de ingeniería social que tuvo algunas consecuencias en Cuba, a juzgar por el estudio realizado y publicado por la Empresa de Consultoría y Seguridad Informática (Segurmática).
El bulo que circuló por aplicaciones de mensajería y redes sociales.
Explica la empresa en su web que «no pocas quejas de usuarios denunciando una disminución injustificada del monto del saldo en los móviles se han plasmado en los últimos días en las plataformas de redes sociales en Cuba, y han llegado hasta nuestras oficinas de Segurmática en busca de una respuesta a su situación».
Una usuaria afectada, narra Segurmática, tras descargar una aplicación gratuita en Google Play Store «comenzó a recibir anuncios publicitarios sobre una oferta para obtener un premio mediante un sorteo o selección de respuestas, "bastante evidentes por cierto", afirmó la clienta. Solo debía responder cuatro sencillas preguntas y completar insertando su correo electrónico para notificarle cómo recibir su premio».
Otra afectada recibió un enlace de su esposo en el que se simulaba la obtención de jugosos premios, pero esta vez no fue una publicidad, «sin dudas una cadena que nos motivó ante la llamativa recompensa», dijo la clienta afectada. Ambas perdieron saldo en sus móviles.
Ante esta situación, especialistas de Segurmática precisaron que, tras un estudio de las plataformas que promueven los falsos anuncios, en muchos casos la pérdida de saldo se produjo por el envío de SMS a destinos internacionales y de tarificación especial desde el dispositivo del cliente, que ha sido víctima de un tipo de ataque de ingeniería social, mediante el cual se le indujo a contestar preguntas y tras unos pocos pocos clics concluyeron con el envío de un SMS a múltiples destinatarios en el extranjero.
Uno de los usuarios afectados, la captura muestra el envío de un SMS a múltiples destinatarios internacionales.
No se trató de un código maligno, pero sí de un enlace o ruta donde se insertaron los anuncios, lo que demuestra que no fue una información real generada por la Empresa de Telecomunicaciones de Cuba S.A., y mucho menos una oferta desde su sitio web oficial, lo que se suma a que la fuente es desconocida para los clientes, amplía Segurmática.
Dos imágenes de las que acompañan este reportaje son bien elocuentes. La primera muestra uno de los mensajes que se renviaron hasta el cansancio por WhatsApp, que invitaba a participar en el sorteo, pero salta a la vista que el sitio web whatevervaccinate.cn es una dirección que nada tiene que ver con la oficial de Etecsa.
Los especialistas de Segurmática encontraron asimismo un fragmento de código en uno de los sitios que explica cómo esa web maliciosa detecta si el usuario navega desde un dispositivo móvil para desencadenar su ataque, el cual consiste en el envío masivo de SMS y la pérdida del saldo. De lo contrario se redirige el tráfico hacia otro sitio web, presumiblemente para realizar otra acción sobre la víctima, consideraron los especialistas de Segurmática.
Con 6,7 millones de usuarios activos en internet a través de datos móviles, según datos aportados por Etecsa a finales de enero, un ataque de ingeniería social como este puede ser muy efectivo si no se aplica el sentido común, la perspicacia y hasta la desconfianza con los enlaces que nos envían nuestros contactos, así sean los amigos más allegados o la familia.
Este código indica al sitio web malicioso si el usuario navega desde un celular o una PC.
Este código muestra a qué números internacionales se realizará un envío masivo de SMS.
El reciente ataque que afectó el saldo de varios usuarios —y a saber cuántos lo habrán padecido y nunca reportaron el suceso—, es un ataque cibernético con fines evidentemente maliciosos, conocido como ingeniería social, recuerda Segurmática.
La empresa rememora que la idea de la ingeniería social surgió originalmente de la filosofía. Karl Popper acuñó el término en 1945 y con ello se refería inicialmente a los elementos sociológicos y sicológicos para mejorar las estructuras sociales. El principio de Popper se basaba principalmente en el supuesto de que las personas pueden ser optimizadas al igual que la maquinaria.
En la década de los 70 del pasado siglo, los sucesores de Popper ampliaron su teoría para incluir ciertos tipos de engaños sicológicos. Sin embargo, su objetivo inicial no era el robo de datos, sino instar a la gente a una mejor interacción y a una mayor concienciación en materia de salud. Esto, en efecto, implicaba manipulación, pero con un objetivo diferente. En la actualidad las referencias a la ingeniería social se hacen en lo relativo a formas fraudulentas de manipulación.
Es un término que engloba a las diferentes técnicas empleadas por los ciberdelincuentes para obtener información confidencial de los usuarios, empleando maniobras de engaño o haciéndose pasar por otra persona.
Se formula a través de una manipulación sicológica a las víctimas para que proporcionen información personal como cuentas de correos, contraseñas, números de identidad, contactos, acceso a los almacenamientos y demás; todo ello para lograr tener acceso ilegítimo a sus equipos. Y es que «los datos privados de los usuarios son el gran tesoro del ciberespacio, la moneda de cambio favorita de los ciberdelincuentes en un escenario de robo de información personal que tiene propósitos muy diversos, desde su venta al mejor postor, hasta su uso en ciberataques», según ha declarado Ana Gómez Blanco, responsable de Cultura en Ciberseguridad de la BBVA.
Para combatir estos numerosos ataques, mostrar ejemplos prácticos sobre cómo se utiliza la información para robar saldo móvil, acceder a cuentas bancarias, activar micrófonos, cámaras, obtener imágenes, videos y otros, Segurmática realizará un adiestramiento virtual nombrado Hacking no ético e ingeniería social, impartido por uno de sus especialistas. «Al finalizar el adiestramiento será inmenso el beneficio y conocimiento adquirido en esas temáticas que constituyen de las más novedosas en la sociedad actual», asegura la empresa, que invita a visitar su web, segurmatica.cu, para más información sobre el curso.
La entidad exhorta, además, a que evite abrir archivos adjuntos de procedencia sospechosa, completar formularios, compartir enlaces dudosos y responder correos a desconocidos, pues programas maliciosos pueden generar llamadas, SMS y conexiones de forma automática, muchas veces sin que el usuario lo conozca o se dé cuenta. Asimismo, recuerda la empresa que su solución Segurmática Antivirus permite mantener protegidos los equipos.