Ciberataques: ¿por qué picamos?

Ciberataques durante la crisis de COVID-19: ¿por qué picamos?

A lo largo de la historia las crisis han sido buenos tiempos para los oportunistas. Llevado al extremo, para los timadores, estafadores y delincuentes. La crisis actual provocada por la pandemia del COVID-19 no es una excepción, y el ciberespacio está demostrando ser el nuevo campo de juego en el que este tipo de personas sin escrúpulos buscan, exclusivamente, su propio beneficio.

Casi todos hemos escuchado alguna vez el término ingeniería social. Este tipo de técnicas, muy utilizadas por los ciberdelincuentes, explotan las debilidades de las personas y de su psicología en lugar de centrarse en la explotación de vulnerabilidades tecnológicas. Los atacantes las utilizan tanto porque suelen funcionarles muy bien (les permiten conseguir sus objetivos en un tiempo razonable), suelen implicar poco riesgo para ellos y, además, suelen suponerles unos costes muy reducidos.

Los malos van de pesca

Una de las técnicas más empleadas dentro de la ingeniería social es el phishing. Este tipo de técnica intenta que mordamos el anzuelo: recibimos un correo electrónico, un mensaje por cualquier aplicación de mensajería instantánea o red social, un SMS, o una llamada telefónica. La idea es que nos parezca algo legítimo que viene de una fuente de confianza, y que realicemos una de estas tres acciones:

1. Que proporcionemos datos o información sensible. El atacante casi siempre persigue que desvelemos una contraseña o clave de acceso, aunque también puede estar interesado en información bancaria como nuestro número de tarjeta de crédito o de cuenta, por ejemplo.
2. Que pinchemos en un enlace. En este caso el objetivo suele ser dirigirnos a una página web controlada por el atacante. Puede ser una página que suplante a una legítima (la de nuestro banco, nuestro portal para teletrabajo, nuestro colegio o universidad, una red social) para intentar que no nos demos cuenta de esta suplantación y que interactuemos con la web como si fuera la real. Esto permite al atacante obtener datos o información sensible igualmente. El otro posible objetivo es infectarnos con algún tipo de malware en esta página web.
3. Que descarguemos o abramos algún tipo de fichero. En este caso el objetivo suele ser de nuevo que nos infectemos con un malware.

Las campañas de phishing suelen ser además de dos tipos. El primer tipo, las campañas genéricas, van dirigidas a todo el público y juegan con la probabilidad. Si, por ejemplo, se envía un millón de correos y se sabe que alrededor de un 3 % de las personas que los reciban los abrirán y pincharán en el enlace, esto implica que los atacantes tendrán éxito 30 000 veces. Y funciona con campañas poco trabajadas en cuanto al diseño del email, la dirección del que lo envía y la redacción del mensaje.

El segundo tipo son campañas dirigidas a una persona o a un grupo de personas en concreto. En estos casos se busca que el gancho o anzuelo (el correo, el mensaje, la llamada, etc.) sea muy creíble para esa persona o personas, por lo que el atacante tiene que trabajar más para generar confianza en su víctima y que caiga en su engaño.

¿Por qué seguimos picando?

La ingeniería social se basa en seis principios fundamentales, que son los que hacen que funcione: la reciprocidad, el compromiso y la consistencia, la pertenencia al grupo, la necesidad de agradar, la obediencia a la autoridad y la escasez.

Los ciberdelincuentes están aprovechándose de que estos principios, que funcionan siempre, funcionan todavía mejor en tiempos de crisis. Es más fácil suscitar un sentimiento de urgencia en las víctimas porque están nerviosas o más sensibles, ávidas de información o de herramientas para comunicarse con los demás, preocupadas por la posible escasez de ciertos recursos, etc.

Analicemos algunos ejemplos que estamos observando estos días:

• Se están creando multitud de campañas que, simplemente, ofrecen supuesta información sobre vacunas, tratamientos o la propia expansión del COVID-19 (con mapas y otras herramientas gráficas, por ejemplo). Al acceder a esta información, ofrecida desde dominios web maliciosos que se han creado a toda velocidad estos días o directamente en documentos adjuntos, muchas víctimas se están infectando con malware. En muchos casos, ransomware que les cifra los datos de sus dispositivos (y los descifra a cambio de un rescate) o troyanos bancarios, que les roban información sensible cuando operan con banca electrónica.
• Lo mismo ocurre con apps que supuestamente ofrecen auto-diagnóstico, información en tiempo real sobre la pandemia, o recomendaciones de las autoridades y que en realidad están robando información de los dispositivos de las víctimas. En muchas de estas campañas, para generar confianza en las víctimas, los atacantes intentan suplantar a entidades de confianza: bancos, organismos oficiales, ONG. Incluso a la Organización Mundial de la Salud.
• También hemos comenzado a observar campañas en las que, supuestamente, gimnasios, colegios, bancos, empresas energéticas, tiendas de comercio electrónico o empresas de mensajería, etc. ofrecen reembolsarte dinero porque en el mes de marzo no has podido disfrutar por completo de los servicios que tenías contratados con ellos. O que simplemente te ofrecen algún tipo de oferta o descuento para el mes de abril. Para disfrutar de estos beneficios te piden tus datos bancarios o te redirigen (supuestamente) a sus sistemas para que puedas realizar las gestiones oportunas.

Cuidado con nuestros datos, y los del trabajo

Hay que tener en cuenta que si todo esto es crítico cuando estamos hablando de datos y dispositivos personales, puede serlo aún más cuando a través de una víctima se compromete a una organización completa (ahora que muchos estamos teletrabajando). Que puede ser incluso un hospital o una infraestructura crítica para la población.

Por eso, al igual que estamos haciendo con el confinamiento, tenemos que ser responsables, por nosotros mismos y por los demás. Tenemos que protegernos para proteger a los que nos rodean, estar alerta y seguir todos los consejos que se están proporcionando desde organismos como el Centro Criptológico Nacional, el INCIBE o la Agencia Española de Protección de Datos. Seamos cuidadosos y apliquemos el sentido común.