El gemelo malvado
Hace un par de días, estaba en mi PC resolviendo un CTF en Hack The Box y recordé que tenía que enviar un correo electrónico. Mientras lo escribía, perdí mi conexión a Internet debido a una falla en el enrutador. Pensé en continuar desde mi celular, pero luego me di cuenta de que ya no tenía datos móviles. Por lo tanto, me desconecté momentáneamente. Por curiosidad, revisé las redes Wi-Fi disponibles y vi justo lo que necesitaba: una red sin contraseña llamada "Wi-Fi gratis".
Seleccioné este Wi-Fi para acceder a esta red e instantáneamente apareció una página de inicio de sesión de Google con una solicitud de autenticación que requería mi correo electrónico y contraseña para acceder a la red.
Claramente, fue una trampa ingresar mis datos de inicio de sesión y obtener acceso a mi cuenta de correo electrónico. El atacante podría ver mis credenciales en texto sin formato si las ingresaba en esa página de inicio de sesión falsa.
Este tipo de ataque se conoce como ataque gemelo malvado, donde un atacante crea una red Wi-Fi falsa para engañar a los usuarios para que se conecten a ella. ¿Y cómo supe que era una red falsa? Porque lo creé yo mismo con la ayuda de un pequeño dispositivo llamado M5StickC.
Este gadget, al igual que otros disponibles en el mercado, es relativamente fácil de conseguir en tiendas online como Amazon, y bastante económico: cuesta menos de 900 pesos mexicanos (aproximadamente 47 USD).
Este dispositivo tiene diferentes tipos de ataques dirigidos a Wi-Fi, Bluetooth y frecuencias de radio, entre otros. Pero el más destacado aquí, como mencioné antes, es el Ataque del Gemelo Malvado.
Esta es solo una de las muchas formas en que un atacante puede tener en sus manos sus datos.
Debemos tener en cuenta que estamos constantemente expuestos a diversas formas de estafas y engaños como estos y debemos defendernos, empezando por evitar conectarnos a redes Wi-Fi desconocidas.
Cambio inmediato de contraseña!
Como en el caso ilustrado anteriormente, podemos caer en técnicas de ingeniería social y phishing de muchas otras maneras. Quizás todos, en algún momento, hemos recibido el clásico correo electrónico o mensaje con asuntos como:
"ACTUALIZACIÓN URGENTE DE DATOS"
"SE REQUIERE CAMBIO DE CONTRASEÑA"
o incluso un correo electrónico como este:
El phishing puede presentarse de muchas formas: ofertas increíbles, sugerencias sutiles o incluso amenazas. Ejemplos de redacción utilizada en correos electrónicos de phishing incluyen:
- SE REQUIERE PAGO INMEDIATO!
- HAS GANADO EL NUEVO iPHONE!
- INVIERTE EN CRIPTOMONEDAS Y RECIBE EL DOBLE DE TU INVERSIÓN AL INSTANTE!
Los correos electrónicos de este tipo pueden ser muy convincentes cuando los revisas y haces clic en los enlaces que incluyen, pero no te dejes engañar. Siempre compare sus correos electrónicos con fuentes alternativas. Por ejemplo, si recibe un correo electrónico de "pago inmediato", verifíquelo llamando directamente a su banco.
Antes de hacer clic en un enlace, piense y vuelva a verificar.
Publicar o no publicar? Ese es el dilema
Facebook, Instagram, X (Twitter)...
Las redes sociales forman parte de nuestro día a día, ya sea para estar en contacto con nuestros amigos y familiares, enterarnos de las últimas novedades o noticias, o simplemente para distraernos.
A través de estas redes sociales, podemos ver todo lo que sucede a nuestro alrededor sin salir de nuestras casas, y de la misma manera, nosotros mismos compartimos lo que hacemos, cómo nos sentimos e interactuar con los demás. .
Por eso se llaman redes sociales: para conectar con los demás, para saber lo que hacen y hacerles saber de nosotros. Pero, ¿alguna vez te has preguntado qué tipo de personas están merodeando por tus redes sociales? ¿Conoces bien a todos tus "amigos" en Facebook? ¿Sabes quién ve tus publicaciones en Instagram? Y lo que es más importante, ¿ha implementado alguna configuración de privacidad para controlar quién puede ver sus publicaciones?
Es muy fácil, y la verdad es que nos llena un poco el ego, enviar y aceptar solicitudes de amistad de todo tipo de personas. Cuanta más gente me vea, y cuanta más gente reaccione a mis publicaciones y fotos, mejor me hace sentir. Nos encanta la atención y que los demás vean a dónde vamos, qué estamos comiendo, qué película vamos a ver o qué libro vamos a leer.
Dos preguntas importantes que debe hacerse:
- Quiénes son mis amigos?
- Y qué tipo de controles de privacidad tengo cuando publico algo?
Debemos entender que no todas las personas tienen buenas intenciones, y sobre todo, siempre hay alguien que querrá aprovechar lo que compartimos en línea.
Un hecho muy común, debido a la falta de medidas de privacidad, es el robo de identidad. Esto ocurre cuando una persona se hace pasar por otra a través de un perfil falso, con el fin de engañar a los seguidores del usuario. El objetivo suele ser dirigirse a las personas que este usuario conoce y aprovechar la suplantación de identidad para obtener información confidencial o convencerlos de participar en algún tipo de fraude.
Es muy fácil acceder al perfil de alguien que no tiene la configuración de privacidad adecuada, descargar sus fotos, ver y copiar su información personal, como su nombre, dónde vive o qué hace para ganarse la vida, y obtener cualquier otro dato que haga que una cuenta falsa se vea casi igual a la original en el momento de la suplantación.
Para evitar el robo de identidad y la suplantación de identidad, debe mantener un alto nivel de privacidad en todas sus redes sociales y tener cuidado con las personas que acepta como amigos.
Recommendations
Las siguientes recomendaciones pueden ayudar a los usuarios a evitar caer en estafas como Evil Twin, correos electrónicos de phishing o robo de identidad.
Gemelo malvado
- Evita, en la medida de lo posible, conectarte a redes Wi-Fi públicas, especialmente si no tienen contraseña.
- Regístrate en servicios VPN como NordVPN para poder conectarte a redes Wi-Fi públicas de forma más segura.
- Mantén tu teléfono y computadora siempre actualizados, además de instalar un antivirus.
- Acceda siempre a sitios web con https y evite los sitiosweb http.
- Nunca ingrese información confidencial, como sus cuentas de correo electrónico o contraseñas, en sitios que no conoce.
Utilice siempre la autenticación multifactor (MFA), utilizando aplicaciones como Google Authenticator o Microsoft Authenticator.
Phishing
Cuando abras un correo electrónico sospechoso, verifica cuidadosamente diferentes aspectos, como:
- El título.
- El remitente.
- Escritura, como errores ortográficos y gramaticales.
- Comprueba siempre la veracidad del mensaje:
- Por ejemplo, si se te pide que cambies la contraseña de tu cuenta de Google, nunca lo hagas con el enlace proporcionado en el correo electrónico. En su lugar, hazlo directamente desde el portal oficial de Google.
- Nunca haga clic en enlaces ni descargue archivos de remitentes desconocidos.
- Nunca responda correos electrónicos con información confidencial, como contraseñas o datos personales.
Utilice el botón "Informar phishing" para informar correos electrónicos sospechosos.
Personificación
- Asegúrese de saber de quién está enviando y recibiendo solicitudes de amistad.
- Configura tus redes sociales como privadas, para que solo tus seguidores o amigos puedan ver tus publicaciones.
- Omita información confidencial que otros no necesitan ver, como:
- Fecha de nacimiento
- Dirección de correo electrónico
- Número de teléfono
- Escuela o trabajo actual
- Nunca comparta documentos de identificación, como:
- Credencial o tarjeta
- Pasaporte
- Licencia de conducir
- Entradas para eventos
Evite publicar dónde está o hacia dónde va. Compartir su ubicación puede facilitar el fraude.
En un mundo cada vez más conectado, proteger nuestra información personal es esencial. Ataques como el gemelo malvado, el phishing y la suplantación de identidad pueden parecer poco probables, pero están a solo un clic de distancia. La prevención comienza con la concienciación y el uso responsable de nuestras redes y dispositivos. Recuerda: tu seguridad digital depende de ti.
La inteligencia sobre el ciberdelito no debería estar aislada.
Los expertos de Fortra® están dedicados a proteger a las organizaciones y al público proporcionando las últimas perspectivas, datos y defensas para fortalecer la seguridad frente a las amenazas cibernéticas emergentes.