Hace unas semanas recibí un correo muy interesante, perdido entre los cientos de mails no deseados, éste llamó mi atención pues decía “yo se tu contraseña y es XXXX”. Cabe mencionar que las XXXX, en efecto, correspondían a una de las contraseñas que uso para aplicaciones que denomino basura o poco relevantes pero al ver una de mis contraseñas sembró el interés y decidí abrir el correo.
Al abrirlo, el interior fue mucho más interesante, pues me explicaban que tenían mi contraseña y que a través de malware habían instalado un software espía con el cual habían tomado control de mi cámara, mi micrófono, habían exportado todos mis contactos y si no procedía a pagarles .2 bitcoins en 48 horas, mandarían a todos mis contactos videos íntimos; que habían sido captados mientras veía sitios de dudosa moralidad.
Describían con detalle técnico que durante un tiempo estaban grabando la pantalla de las páginas visitadas y, en otra, mi cámara. También decía que este correo tenía un pixel que les dejaría saber cuando abriera el correo así que a partir de este momento empezaban a correr las 48 horas para el pago de su extorsión. Las instrucciones de pago estaba en un enlace que venía al final del correo.
Para ponerte en contexto, un Bitcoin hoy en día vale 216 mil pesos aproximadamente, por lo que el chantaje era por 43,227.83 pesos a pagar en 48 horas. Así que, así empezó todo...
Debo de confesar que por un par de minutos me llene de ansiedad, no por el chantaje, sino porque sabia que era un intento de estafa, pues no visito sitios pornográficos y mi equipo corporativo y personal tiene software que lo protege contra malware y spyware, oero aun así saber que alguien tuviera una de mis contraseñas, me estresó un poco. Y entonces hice lo que se debe de hacer en situaciones de crisis, guardé la calma y recordé qué hay que hacer, es un protocolo simple pero que en ocasiones por la ansiedad, el miedo o la ignorancia no seguimos y el resultado será ponernos en una peor situación que al inicio.
Después, pensé que este tipo de correos son recibidos por cientos de miles de personas y son una forma muy lucrativa de recaudar dinero. Por lo que decidí escribir sobre esto, porque los ataques por correo son cada vez más sofisticados, creativos y altamente exitosos, creo que es importante que conozcamos cómo actuar para protegernos de mejor manera en este mundo digital que es cada día más hostil.
Un ejemplo: de febrero a marzo de este año se registró un crecimiento descomunal de 1600% en correos de phishing debido a la avidez de información del COVID, según la firma de Ciberseguridad Symantec.
Y es que ¿Quién no ha recibido un correo de este tipo? Un correo donde se adjunta una factura fiscal, que nunca solicitamos; un aviso que nuestra cuenta ha sido bloqueada y para desbloquearla tienes que dar click y seguir los siguientes pasos; un correo de tu proveedor de compras en línea donde te manda información de tu envío; una guía del proveedor más importantes de mensajería con tu numero de guía pidiendo des click para rastrear tu pedido; el premio de una lotería que nunca jugaste; un requerimiento de hacienda, donde te pide que aclares tu deuda; un aviso de adeudo de tu recibo de luz, donde te piden que des click para arreglarlo; unas fotos comprometedoras de tu pareja que puedes descargar aquí; o incluso el viejo y famoso truco de una herencia de una persona lejana que promete transferirte millones si sigues las instrucciones. Todos estos intentos, son muy usados y siguen siendo efectivos.
Entonces qué debemos hacer para no ser víctimas de estos ataques ya sea nivel corporativo o personal y no ser parte de la estadística. Les doy unos consejos de lo que yo hice en este caso para ayudarles a saber qué acciones tomar ante un caso como este.
En mi caso, la contraseña que me enviaron la use en una app de viajes global que recientemente fue hackeada. En este ataque los correos electrónicos y passwords de sus clientes fueron robadas y con estos dos simples datos, el tiempo y los recursos necesarios; un engaño como este puede ser altamente efectivo. Imaginen que de esa base se datos hackeada mil personas caigan en este engaño, tengan el miedo y la sospecha de que lo que dice es real y además tengan los recursos para pagar.
Entonces, como primer paso me gustaría abordar el manejo de nuestras contraseñas porque en ocasiones usamos el mismo password para todo y por si fuera poco, no lo cambiamos nunca. Esto hace que si algún día un proveedor de un servicio que tiene nuestra contraseña es hackeado, como sucedió en mi caso, entonces todos los accesos a los servicios que tenemos estén comprometidos y en alguno de ellos puede haber información valiosa, como mi dirección, la tarjeta que puse para pagar ese servicio que podrían utilizar para hacer compras no autorizadas. Por lo tanto, es importante usar password diferentes y cambiarlos de manera regular, para evitar que un evento como este vulnere nuestra identidad digital, nuestra privacidad o nuestra economía.
Así, si tienes un intento de ataque como éste, puedes identificar de dónde viene y a quién le robaron mis datos. De igual forma si uso esta misma contraseña en otro sitio, debería cambiarla de inmediato.
Y respecto al correo recibido, s importante saber qué hacer y cómo proceder ya que el mayor vector de ataque en el mundo es el correo electrónico, por este medio entran la mayoría de los ataques en el mundo, por lo cual debemos ser cautos.
Lo primero que debemos saber es que si su proveedor de correo electrónico puso un correo en la bandeja de correo no deseado, es porque no cumple con una serie de requerimientos para ser considerado un correo seguro, por lo que cualquier correo en esa bandeja deberá ser tratado como sospechoso, eso no indica que algún correo que llegue a nuestra bandeja de entrada entonces es valido pero sí indica que hay mayor riesgo.
En ocasiones los correos están tan bien hechos que parecen, en realidad, enviados por una institución de gobierno o por nuestro banco. Por lo que, lo primero que debemos hacer es verificar que el remitente “real” y que envió ese correo sea quien dice ser. Muchas veces el nombre puede parecer real, pero cuando se verifica la dirección de correo es apócrifa.
Para ejemplificar mejor, el correo desde el que se deben de recibir notificaciones es cobranza@mibanco.com y el correo recibido dice “Cobranza MI BANCO” pero la dirección de correo es: cobranzamibanco@gmail.com, con lo cual podemos ver que el dominio no concuerda con el dominio del banco. Por lo que siempre debemos asegurarnos de que el correo tenga el dominio correcto antes de hacer alguna acción como dar click, descargar un documento adjunto,con este simple paso descartarán gran parte de los correos recibidos.
El segundo paso es NUNCA dar click a un link de estos correos. Por más tentador que sea, muchas veces esos links nos conducen a sitios maliciosos donde nos infectaremos de algún software malicioso que después podrán utilizar en nuestra contra. En mi caso, donde decían que habían instalado software malicioso, esto si no se había hecho y era mentira, al dar click e ir a un sitio web de dudosa procedencia, puede ser que la dar click descargara e infectara mi equipo con algún software malicioso, lo cual nos pondrá en más problemas.
Pero como comenté, en ocasiones los correos están hechos de manera tan profesional y su petición de dar click parece valida, entonces sugiero que si ya verificamos que el sender/remitente del correo es válido y nos pide ir a algún sitio, es mucho mejor ir al sitio que conocemos y realizar la acción solicitada directamente en el sitio oficial conocido por nosotros. Por ejemplo, si nos llega un correo de nuestro proveedor de correo diciendo que alguien está intentando entrar a nuestra cuenta, que ha sigo bloqueada y nos pide desbloquearla dando click en la página.
Es mejor ir directamente al sitio de nuestro proveedor e iniciar sesión directamente en el sitio conocido. Al dar click en el link puede ser que nos lleve a un sitio falso, que por cierto cada vez se ven mucho más reales y profesionales, nos pedirán que pongamos nuestro correo y password para desbloquear la cuenta y por la cual estaremos entregando nuestro user y password a un delincuente.
Esta forma de ataque se llama Spear-Phising fue usado en 2016 hacia John Podesta, Jefe de Staff de la Casa Blanca y Jefe de cámara a de Hilary Clinton donde se reveló el escándalo de uso de correos personales para tratar temas oficiales, que puso en juego la elección de Clinton, por lo que es importante no confiar en los links en los correos y si se tiene la duda es mejor acudir al sitio oficial del remitente.
El siguiente paso es denunciar, si el correo se recibe en nuestra cuenta del trabajo, es importante avisar inmediatamente al equipo de Seguridad Informática de la empresa, porque este ataque no solo lo harán a una persona, lo replicaran hasta que alguien caiga, por lo que es mejor avisar al equipo de expertos para que ellos tomen medidas.
En el caso de que el correo sea recibido en una cuenta personal, la mayoría de los mayores proveedores de correo tienen la opción de reportar ese correo como suplantación de identidad o correo malicioso, con esta clasificación ayudamos a que el proveedor pueda bloquear ese tipo de correos a otros usuarios, y en casos donde nuestra seguridad o privacidad este en riesgo, es importante denunciar este correo ante las autoridades competentes, pues justo este tipo de denuncias ayuda a investigar por los medios oficiales y de esta manera ayudar para que las autoridades puedan detener a grupos de ciberdelincuentes. Así que no hacer nada, también ayuda a los delincuentes, hay que reportar si queremos frenarlos.
Así que en este mundo digital tenemos que ser menos ingenuos, sospechar un poco de todo lo que llega a nuestras manos. Que hay gente ávida de sacar provecho y que nada demasiado bueno o gratis es bueno o gratis de verdad.
Adriana García
Adriana es Country Manager at Forcepoint. Con dieciséis años de experiencia en el sector de IT security, networking y soluciones de nube. Ha construido y liderado equipos multidisciplinarios enfocados en el incremento de market share, cuentas estratégicas y negocio, a través de soluciones empresariales que la han constituido como uno de los personajes más reconocidos en materia de ciberseguridad en México y América Latina.