La experiencia demuestra que incluso los expertos en Internet cometen errores al protegerse contra los ataques de hackeo dirigidos. Ya que nuestro día a día está cada vez más conectado a Internet y a otras redes, la seguridad online se está convirtiendo en una necesidad urgente.
Casi todo el mundo tiene una cuenta de correo electrónico, cuentas en redes sociales y banca electrónica. La gente hace compras online y usa el Internet móvil para identificarse (por ejemplo, las soluciones de verificación en dos pasos). Por desgracia, ninguno de estos sistemas es completamente seguro.
Cuanto más interactuamos online, mayor es el objetivo para los hackers; los especialistas de seguridad lo llaman “superficie de ataque”. Cuanto más grande es la superficie, más fácil es atacar. Si echas un vistazo a estas tres historias de los últimos tres años, entenderás perfectamente cómo funciona.
Cómo robar una cuenta: ¿un hackeo o una simple llamada telefónica?
Una de las herramientas más poderosas utilizadas por los hackers es el “hackeo humano” o ingeniería social. El 26 de febrero de 2016, el editor de Fusion, Kevin Roose, decidió comprobar lo poderoso que es. La hacker e ingeniera social, Jessica Clark, y el experto en seguridad, Dan Tentler, aceptaron su desafío.
Jessica prometió hackear el correo electrónico de Kevin con una llamada telefónica, y lo cumplió. Primero, su equipo creó un perfil de 13 páginas de largo que cubría una descripción del perfil de Roose, que hablaba sobre lo que le gusta y lo que no, etc. Todos los datos utilizados fueron recogidos mediante fuentes públicas.
Después de haberlo preparado, Jessica duplicó el número de móvil de Kevin y llamó a su compañía telefónica. Para añadir tensión a la situación, puso de fondo un vídeo de bebés llorando.
Jessica se presentó como la mujer de Roose. Según su historia, ella y su “marido” iban a solicitar un préstamo, pero la joven y agotada madre había olvidado el correo electrónico que utilizaban juntos. Con los bebés llorando de fondo, Jessica persuadió rápidamente al servicio de soporte para reiniciar la contraseña del correo electrónico y consiguió el acceso total al correo objetivo.
Dan Tentler consiguió llevar a cabo su tarea mediante el uso de phishing. Primero, descubrió que Kevin tenía un blog en Squarespace y le envió un falso correo electrónico oficial desde la plataforma del blog. En él, los administradores de Squarspace pedían a los usuarios que actualizaran el certificado SSL para mejorar su “seguridad”. En vez de protegerle, este archivo permitió a Tentler el acceso al PC de Kevin. Dan creó varios pop-ups falsos que pedían a Roose que introdujera sus credenciales específicas, consiguiendo así su objetivo.
Tentler consiguió acceder a los datos bancarios de Kevin, a sus credenciales de inicio de sesión en su correo electrónico y en tiendas online, además de a los datos de su tarjeta de crédito y su número de la seguridad social. Asimismo, Dan consiguió fotos de Roose y de su pantalla, tomadas cada dos minutos durante las 48 horas de hackeo.
#Phishing: qué es y 10 consejos para protegerte https://t.co/JRJV7FYGTU #ciberseguridad pic.twitter.com/arVUdCVq8l
— Kaspersky España (@KasperskyES) March 25, 2016
¿Cómo robar a un ingeniero de software en una noche?
En la primavera de 2015, el creador de software Partap Davis, perdió 3.000 dólares. En cuestión de pocas horas, durante una noche, un hacker consiguió acceder a sus dos cuentas de correo electrónico, su número de teléfono y su cuenta de Twitter. El criminal burló inteligentemente el sistema de verificación en dos pasos y vació la cartera de Bitcoin de Partap. Como podrás imaginar, a la mañana siguiente Davis se encontró con una desagradable sorpresa.
Es importante mencionar que Patrap Davis es un usuario experto en Internet: siempre elige contraseñas fuertes y nunca hace clic en enlaces maliciosos. Su correo electrónico está protegido con el sistema de verificación en dos pasos de Google, por lo que, cuando inicia sesión en un ordenador nuevo, tiene que introducir los seis dígitos enviados a su teléfono móvil.
Anatomy of a hack: a step-by-step account of an overnight digital heist http://t.co/6M0OpMIQ7G pic.twitter.com/GpDdirnbZo
— The Verge (@verge) March 4, 2015
Davis guardaba sus ahorros en tres carteras de Bitcoin protegidas con otro servicio de verificación en dos pasos, proporcionado por la aplicación móvil de Authy. Aunque Davis utilizó todas estas medidas razonables de seguridad, no se salvó de un ataque dirigido.
Después del incidente, Davis se enfadó mucho y pasó varias semanas buscando al criminal. También contactó y reclutó a editores de The Verge para esta misión. Todos juntos lograron descubrir cómo se hizo el hackeo.
Como correo principal, Davis utilizaba la dirección de Patrap@mail.com. Todos los e-mails fueron reenviados a una dirección de Gmail más difícil de recordar (ya que Patrap@gmail.com ya estaba siendo utilizada).
Durante varios meses, cualquiera que quisiera podía comprar un script especial en Hackforum, permitiendo al dueño explotar una vulnerabilidad en la página de restablecimiento de contraseña de Mail.com. Al parecer, este script fue utilizado para burlar la verificación en dos pasos y cambiar la contraseña de David.
Así esquivan los #troyanos bancarios los sistemas de verificación en dos pasos https://t.co/dJztSR3JQk #bancos pic.twitter.com/6mzbP2dwZH
— Kaspersky España (@KasperskyES) March 18, 2016
Después de eso, el hacker solicitó una nueva contraseña de la cuenta de AT&T de Davis y luego pidió al servicio al cliente que desviaran las llamadas entrantes de Davis a un número de Long Beach. El servicio de soporte recibió un e-mail de confirmación y aceptó darle el control de las llamadas al criminal. Con esta poderosa herramienta, no fue difícil burlar al servicio de verificación en dos pasos de Google y obtener acceso a la cuenta de Gmail de Davis.
Ya que los SMS se seguían enviando al antiguo número de móvil de Davis, el hacker utilizó la función de accesibilidad para gente con problemas de visión. Esta le permitía leer el código de confirmación en voz alta a través del teléfono. Así que, la cuenta de Gmail fue hackeada y solo la app de Authy se interponía entre el hacker y su recompensa.
La verificación en dos pasos: qué es y dónde deberías usarla http://t.co/1rW8aey5o4 #seguridad
— Kaspersky España (@KasperskyES) June 13, 2014
Para superar este obstáculo, el criminal simplemente reestableció la app en su teléfono utilizando una dirección de mail.com y un nuevo código de confirmación, recibido, una vez más, a través de una llamada. Cuando prácticamente todas las medidas de seguridad estaban en sus manos, el hacker cambió las contraseñas de una de las carteras de Bitcoin de Davis con el uso de Authy y la dirección de mail.com, transfiriendo todo el dinero.
El dinero de las otras dos cuentas quedó intacto, gracias a queuno de los servicios no permitía sacar dinero después de 48 horas de que se reestableciera la contraseña. La otra cuenta solicitó el escaneo del carné de conducir de Davis, al que el hacker no tenía acceso.
Un trol amenazador arruina vidas reales
Tal como se publicó en el periódico Fusion en octubre 2015, la destrucción de la vida de la familia Strater comenzó con una pizza. Hace muchos años todas las cafeterías y restaurantes locales llenaron sus terrazas de pizzas, tartas y comida de todo tipo. Paul y Amy Strater tuvieron que cancelar el pedido, disculpándose.
Justo después llegaron los ramos de flores, acompañados de grandes cantidades de arena y grava, remolques y otros bienes y servicios no solicitados. Todo esto resultó ser solo la punta del iceberg, ya que les esperaban tres años de una verdadera pesadilla.
How the Strater family endured 3 years of online harassment, hacked accounts, and swatting https://t.co/cL32Fn4bh2 https://t.co/WFKMxN5bHt
— Techmeme (@Techmeme) October 25, 2015
Paul Strater, un ingeniero senior en radiodifusión en un canal local de TV, y su esposa Amy Strater, ex administradora de un hospital, fueron víctimas de un hacker o un grupo de hackers desconocidos que no se llevaban bien con su hijo Blair. Las autoridades recibieron amenazas de bomba enviadas a su nombre. Los hackers utilizaron la cuenta de Amy para publicar el plan de ataque a un colegio. La nota principal incluía el siguiente titular: “Voy a acabar con tu escuela”. La policía terminó haciendo frecuentes visitas a su casa, lo que no mejoró su relación con los vecinos, que intentaban adivinar lo que estaba pasando.
Los criminales, incluso lograron hackear la cuenta oficial de Tesla Motors y publicaron un mensaje que alentaba a los fans a llamar a los Strater para recibir un coche Tesla de forma gratuita. Los Strater pasaron el fin de semana pegados al teléfono, ya que Amy y Blair recibían casi cinco llamadas por minuto de fans de Tesla que querían adquirir un coche en “promoción”. Un hombre incluso visitó la casa de los Strater y les pidió que abrieran la puerta del garaje, sospechando que escondían su Tesla gratuito.
https://twitter.com/rootworx/status/592098596864040960
Paul intentó detener el acoso: cambió las contraseñas de todas sus cuentas y comunicó a los gerentes de los restaurantes que no repartieran nada a su dirección a menos que estuviera completamente pagado por adelantado. También contactó con el departamento de la policía de Oswego y les pidió que antes de enviar refuerzos, les llamaran para verificar que la emergencia era real. En el transcurso de estos problemas, el matrimonio de Paul y Amy se terminó.
Los ataques no cesaron. Las cuentas de las redes sociales de Amy también estaban hackeadas y se utilizaron para publicar comentarios racistas. Después de eso, ella perdió su trabajo. A pesar de haber informado a sus jefes de que alguien había convertido su vida y la de su familia en una pesadilla, la echaron.
Con el tiempo, Amy recuperó el control de su cuenta de LinkedIn y logró eliminar su cuenta de Twitter. Pero durante un tiempo, Amy no pudo encontrar un trabajo en su profesión debido a su historial. Tuvo que trabajar en Uber para llegar a fin de mes, pero eso no fue suficiente y estuvo a punto de perder su casa.
“Si antes buscabas su nombre en Google, encontrabas todos sus artículos escolares y las cosas buenas que había hecho”, declaró su hijo Blair a Fusion. “Ahora es todo: hacker, hacker, hacker”.
Algunas personas culpan a Blair Strater, quien estaba involucrado en varios círculos cibercriminales, donde no tenía amigos. En este caso, los Strater pagaron por los “pecados” de su hijo, ya que ellos no tenían nada que ver con esos hackers.
Vale, ¿existe alguna forma de estar seguro?
Estas historias demuestran que es casi imposible protegerse de un ataque de hackeo dirigido. Así que, si tienes algo que esconder, no lo subas a Internet. Afortunadamente, los cibercriminales cualificados no están interesados en la mayoría de las personas. Nosotros necesitamos protección contra los cibercriminales que se dirigen al público en general. Existen muchos “expertos” en Internet, que afortunadamente, utilizan métodos más simples.
Así que te recomendamos hacer lo siguiente:
- Aprende sobre el phishing, por qué funciona y cómo evitarlo.
- Utiliza contraseñas seguras y únicas para todas tus cuentas.
- Lee sobre cómo utilizar Internet correctamente.
- Deja de utilizar redes de Wi-Fi público para operaciones importantes y descubre qué se debe hacer y qué no con tus finanzas online.
- Instala una buena solución de seguridad en todos tus dispositivos. Sí, tu smartphone y tu tablet también necesitan protección. Por supuesto te recomendamos nuestra solución galardonada, Kaspersky Internet Security – Multi-Device.