Entre Twitter y WhatsApp, así se combinan los nuevos intentos de ataques informáticos
Más pasamos parte del tiempo conectado a nuestras redes, más riesgos de ser el blanco de ataques de ciberdelincuentes sumamos. Esta vez me tocó a mí. No porque no haya pasado por intentos similares de robo en otro momento, sino porque esta vez se combinó el uso de WhatsApp y de Twitter con datos personales, entre ellos la foto de mi pasaporte, para darle credibilidad a un engaño que, felizmente, no fue.
Una de estas noches, cuando todos dormíamos en mi casa, me desperté con la vibración del teléfono celular. Me sobresalté. Eran más de las 12 de la noche y uno tiende a pensar que puede estar sucediéndole algo a un familiar. Cuando miro la pantalla me habían llegado mensajes al WhatsApp de un número desconocido, aparentemente de Estados Unidos.
Los mensajes de un tal "Marcelo Soporte de Twitter" me advertían de movimientos sospechosos en mi cuenta de esa red social, provenientes de Santa Fe, razón por la que querían llamarme para hacerme preguntas de seguridad. Leí los dos primeros mensajes, luego siguieron cayendo otros que no abrí.
Pese a que estaba dormida advertí que algo raro estaba pasando. Revisé rápidamente si mi cuenta de Twitter en el teléfono tenía algo raro y no vi nada. Somnolienta, me levanté y fui a encender la computadora para volver a comprobar alguna actividad sospechosa. Con los anteojos mal puestos envié e-mails a los referentes de Twitter de mi agenda consultando si habían modificado, por casualidad, alguna pauta de seguridad. Mientras hacía todo eso, el teléfono comenzó a sonar. "Marcelo Soporte de Twitter", cuya foto de perfil parecía la de un ejecutivo europeo posando para una revista de management, me estaba llamando vía WhatsApp.
Fueron cuatro llamadas, insistentes, en un lapso de algo más de 20 minutos. No atendí ninguna de ellas. Acto seguido desinstalé, por prevención, la app de Twitter en mi teléfono. Y volví a dormir, cosa que fue difícil de lograr.
Seguí el caso a la mañana siguiente. Desde Twitter me informaron que, como ya todos sabemos, en caso de un problema de seguridad la red social de Jack Dorsey lo informa por sus propios canales dentro de su propia red. Seguramente a alguno de ustedes les llegó alguna vez un mensaje de la red del pajarito pidiéndoteles que cambien la contraseña luego de conocerse un incidente informático. Si no, este es el canal que usan todas las redes sociales. De hecho, desde la compañía me mandaron a seguir las instrucciones de seguridad que pueden verse aquí https://help.twitter.com/en/safety-and-security
Luego me comuniqué con Facebook porque, lo curioso de los mensajes que me habían llegado vía WhatsApp, es que aparecieron primero como cuenta de empresa y, tras leerlos, cambiaron a status de cuenta común. Les mandé las capturas de pantalla correspondientes, práctica a ejercer ante cualquier sospecha de delito por la vía electrónica, sea cual fuese.
En ambas compañías me recomendaron, tal como se le sugiere a cualquier usuario de un servicio digital, que implemente la autenticación en dos pasos. Otro consejo que vale recordar para todos los usuarios de todas y cualquier red social.
Técnicas más sofisticadas
Esta modalidad de ataque usando varias redes sociales o información cruzada habla de una sofisticación de las técnicas de ingeniería social para lograr el objetivo, aunque no es nueva. Un antecedente conocido fue el de la hoy ex ministra de Seguridad, Patricia Bullrich, cuando le fue hackeada su cuenta en Twitter a la que se accedió haciendo uso de su cuenta de correo electrónico. En mi caso en particular, lo que sucedió fue el uso en simultáneo de varios datos conocidos, en un horario que recuerda a los secuestros virtuales que se pusieron "de moda" hace unos 15 años con las llamadas telefónicas en horas de la madrugada.
¿A qué apuntaba este intento de ataque? Puede haber sido por varias razones, de acuerdo a las consultas que realicé entre diversas fuentes: desde un simple ataque de phishing para obtener el código de WhatsApp hasta obtener otros datos personales o capturar alguna cuenta.
Entre los mensajes enviados por "Marcelo Soporte" me preguntaban: "Le parece si le hago las preguntas de seguridad así comenzamos con el protocolo de seguridad?, son unas preguntas fáciles" que seguramente iban encaminadas a obtener determinados datos (en el primer momento que lo leí no advertí lo mal escrito que estaba el mensaje).
Esta modalidad fue muy usada el año pasado atacantes de cuentas de usuarios bancarios que se hacían pasar por personal de atención al cliente de personas que habían elevado su queja, por ejemplo, a través de las redes sociales.
La imagen que me mandó el cibercaco incluye mi nombre, mi fecha de nacimiento y mi DNI, junto a la foto de mi pasaporte que, como siempre sucede, es de las peores que una puede tener. Pero no es la foto de la primera página de mi pasaporte sino una especie de collage bien hecho con esos datos. ¿Con Canva tal vez? (Le pongo un poco de humor a esto porque creo que es el modo en que todos podemos entender con facilidad cómo operan las técnicas de ingeniería social, que son realmente un asunto serio).
Ahora vamos a mis datos personales: en la imagen que me enviaron apareció mi nombre completo, mi DNI, mi fecha de nacimiento y la foto de mi pasaporte. Son datos que están en cualquier padrón, no debería sorprenderme eso. Pero también recordé que hace unos meses hubo una filtración de datos de Migraciones y consideré una posible relación.
Desde Gobierno rechazaron que esa posibilidad se haya dado en este caso en particular. En las conversaciones con las empresas surgió el tema de Migraciones, pero las distintas fuentes también advirtieron que esos son los que se usan en las acreditaciones de eventos internacionales. Como periodista he viajado a cubrir distintos congresos y encuentros en distintos países antes de la pandemia y la manera de acreditar en ellos es mediante el pasaporte.
Dmitry Bestuzhev, del equipo de Investigación y análisis de Kaspersky para América latina, explicó que "este tipo de ataques es cada vez más frecuente por el fenómeno de fuga de datos masivos. Los hackers reciclan todo y lanzan nuevos ataques de ingeniería social".
Ataques cada vez más direccionados
El phishing es uno de los ataques de ingeniería social que llevan adelante los ciberdelincuentes, una modalidad que está muy asociada al sector financiero y bancario pero que no es exclusivo de éste. "En este caso, al igual que el phishing bancario, se intenta que la víctima notifique ciertos datos personales aduciendo problemas de seguridad con una cuenta de una red social como Twitter- donde se le solicita acreditar identidad a la victima a partir de ciertos datos previos con los que cuenta el estafador de la misma, obtenidas quizá de Internet mismo. Esto se denomina spear phishing es decir, un caso de phishing personalizado, dirigido, no distribuido en forma generalizada a través de spam como sucede en los casos de phishing tradicional", explicó a iProfesional, Gustavo Saín, director nacional de Ciberseguridad.
"En este tipo de engaño, se utiliza un servicio de mensajería instantánea como WhatsApp asociado a un número telefónico, lo que lo hace más personalizado. Para que la estafa sea más creíble, con los datos previos que cuenta el estafador puede simular algún tipo de documentación oficial que debe validar, como por ejemplo, un pasaporte. Esto es muy sencillo de hacer hoy en día con la cantidad de programas de edición de imágenes al alcance de mano de cualquier usuario medio, incluso algunos se pueden descargar gratuitamente de Internet", agregó.
Paloma Szerman, gerente de políticas públicas de WhatsApp para América latina, explicó que "en WhatsApp, más que ataques informáticos, lo que vemos son engaños a través de esquemas de ingeniería social para intentar hacerse del control de una cuenta para luego pedir dinero a los contactos de la víctima del engaño. Por eso, primero, para proteger una cuenta de WhatsApp es importante que los usuarios nunca compartan con nadie el código de verificación de seis dígitos necesario para registrar una cuenta".
Y recordó que "si un usuario recibe una llamada o mensaje de una persona desconocida o que dice ser de WhatsApp o de otra empresa, empieza a hacer preguntas y en algún momento le dice que le enviará a través de mensaje de SMS un código de confirmación, desconfíe; lo más probable es que esa persona esté intentando robarle la cuenta de Whatsapp desde otro teléfono, para lo cual precisa el código de verificación", insistió.
Además de ser el año de la pandemia, 2020 fue el año de los ataques informáticos, producto de que el mundo continuó funcionando en modo virtual. Abel Decaroli, director de Prevención en Seguridad de Sistemas y Redes Informáticas, recordó que "hubo tres etapas en materia de ataques tanto hacia la administración pública como hacia los usuarios de internet. La primera se inició con mucho phishing y spam focalizado en instituciones de salud. Luego el foco se orientó a las conexiones remotas y a la intromisión en plataformas como Teams, Zoom y Meet, y luego el defacement y el ransonware que fue la estrella de los ataques", indicó.
Tal como lo señalaron las otras voces consultadas, y en relación a lo que sucedió en 2020, "lo que se ve ahora es la sofisticación de los ataques. Respecto del ransomware, hoy tenés el RAS (ransomware como servicio) para atacar a una entidad o grupo de entidades específico. La evolución que se observa es en los modos más que en las tecnologías. El vector está más definido sobre lo que se quiere atacar", agregó.
El relato personal sirvió, esta vez, para volver a traer sobre la mesa un tema que es de todos los días. Y para tener bien frescas no sólo las modalidades de ataque sino cómo se van modificando todo el tiempo, tal como lo explicaron los especialistas consultados.
En 2020 hubo más de 900 millones de intentos de ciberataque en la Argentina, sobre más de 41.000 millones de ataques que se registraron en América latina, según un reporte de Fortinet que señaló que las tecnologías avanzadas y la inteligencia artificial aumentan las posibilidades de éxito de los ciberdelincuentes.
Sólo en el último trimestre se registraron unos 550 millones de intentos en el país, donde el phishing continúa siendo la estrella pero, y tal como también señalaron los consultados, el grado de sofisticación y eficiencia que logran con las nuevas técnicas. De ahí que hay que estar prevenidos y en alerta, más aún si algo sospechoso ocurre cuando estamos dormidos, o distraídos.
Los pasos a seguir en caso de ataques informáticos
Aquí van las recomendaciones que dejaron tanto desde la Dirección Nacional de Ciberseguridad como desde WhatsApp.
-No abrir comunicaciones no solicitadas o de remitentes desconocidos. Si es un e-mail verificar la dirección y corroborar si es la que figura como vía de contacto informada en los canales oficiales de la organización en cuestión. Los phishers suelen cambiarle una letra, número o símbolo. La misma advertencia se debe tener con la URL de los sitios web, es decir, con la dirección de la ubicación de las páginas.
-Ninguna organización enviará una comunicación mal redactada, confusa o con faltas de ortografía. Por eso, no se debe acceder a los links de un mensaje de ese tipo, ni descargar sus archivos porque podrían contener un código malicioso.
-Tampoco se debe realizar ninguna acción si se recibe un mensaje que indica actuar de forma inmediata, con límite de tiempo y cause desconfianza. Lo primero que se debe hacer es comunicarse telefónica o personalmente con esa organización del mensaje para corroborar la veracidad del contenido.
-La revelación de tus claves personales o bancarias es un tesoro muy preciado para los phishers. Por eso, nunca debe ser revelada, ya que ninguna institución financiera seria te las pedirá ni por teléfono ni por mail o una red social ni a través de empleados que vayan a tu casa o trabajo.
-Si se recibe un mail desde una casilla general (como Gmail, Outlook o Yahoo) en el que dicen ser una empresa determinada, hay que desconfiar. Las organizaciones suelen tener sus propios dominios para las direcciones de e-mail, salvo algunos comercios pequeños.
-Prestar atención a los encabezados genéricos, a aquellos que dicen: "Estimado cliente; Hola; Buenas tardes, amigo o amiga, etc.", porque de esa forma se suelen expresar los estafadores que envían de forma simultánea el mismo mail a cientos de personas. Las empresas serias suelen escribir el nombre del destinatario en el texto.
-Ninguna organización va a solicitar fuera de los canales oficiales información personal a una persona, aunque se utilicen servicios de mensajería de telefonía celular, SMSs o mensajes privados de redes sociales, entro otros.
-Al recibir mensajes de una persona supuestamente conocida pidiendo dinero, es recomendable contactarlos por teléfono para confirmar la autenticidad de la solicitud. En el caso de que un contacto se haga pasar por otra persona, el usuario que recibió el mensaje debe reportar la conversación a través de la opción "reportar" disponible en el menú de la aplicación. También es importante enviar un correo electrónico a [email protected] con la mayor cantidad de información posible (como el número de teléfono en formato internacional y la descripción de lo sucedido) para alertar sobre una cuenta que está haciendo mal uso de su nombre y / o foto".
Sobre la clonación o robo de cuenta. Aquí se deben seguir las siguientes recomendaciones.
Siempre que se activa una cuenta de WhatsApp en un dispositivo nuevo, el sistema envía un código SMS para verificar el número. Es muy importante que el usuario nunca comparta este código con otras personas, ni siquiera con amigos o familiares. Si roban tu cuenta:
-Solicitar la verificación de la cuenta a través de SMS. Reinstalar WhatsApp, ingresa tu número de teléfono y confirma el código de seis dígitos que recibirás por SMS. De esa manera, la aplicación se cerrará automáticamente si es que cualquier otra persona está usando tu cuenta.
-Notificar a tus amigos y familiares. Muchos estafadores usan tu lista de contactos para solicitar información confidencial y depósitos en efectivo. Si tu cuenta es robada, comunícate con las personas cercanas para informarles de la situación y que nadie pueda hacerse pasar por ti. En caso de que una persona supuestamente conocida te solicite dinero, es recomendable que la contactes por teléfono para confirmar la autenticidad del pedido.
-Ponerse en contacto con el equipo de servicio de WhatsApp. Envía un correo electrónico a [email protected]. El correo electrónico se puede enviar en español, con un Asunto como "Cuenta falsa / robada" y debe contener el número en formato internacional (+52 DDD ...). Describe lo que sucedió con el mayor detalle posible en el cuerpo del correo electrónico.