domingo, noviembre 17

Cuídate de los «chismosos» que espían tu celular por encima del hombro, roban información confidencial

0
197

Aunque es una técnica muy vieja, los delincuentes la siguen utilizando para poder hurtar credenciales bancarias, de redes sociales y otros datos personales

A veces creemos que la mayor amenaza de seguridad cibernética la tenemos del otro lado de la pantalla, en las aplicaciones, en los sitios webs, correos electrónicos y demás. Lo cierto es que no solo debemos protegernos de las estafas por phishing o la descarga por error de algún tipo de malware, pues, de acuerdo con las empresas especializadas en ciberseguridad, hay otras formas para los delincuentes hurten nuestros datos personales y profesionales. De hecho se trata de una de las más viejas técnicas de robo de información y no es tan sofisticado como piensas. Solo se trata de espiar por encima del hombro el teléfono celular de una persona distraída o incluso revisar papeles confidenciales que se tiran sin romper a la basura.

Espiar pantallas, la modalidad más vieja a la que recurren los estafadores

De acuerdo con el jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez Amaya, espiar de cerca es una modalidad a la que suelen recurrir los estafadores, incluso antes de que llegaran los teléfonos inteligentes en 1996 con el Nokia 9000 Communicator y los modelos táctil en el 2006 con el LG KE850. Con esta técnica de robo, se pueden espiar dispositivos móviles y laptops para obtener datos sensibles como el código PIN de las tarjetas de crédito, los dígitos de los mismos plásticos, datos sensibles y personales como contraseñas de redes sociales, aplicaciones, correo electrónico, entre otros. Esto se debe a que nuestro estilo de vida es muy apresurado y para facilitarnos los trámites diarios, ya es común hacer uso de los múltiples equipos electrónicos. En sí, facilita mucho el manejo de nuestras cuentas bancarias, pero también son un imán para los delincuentes.

Por su parte, Jake Moore, especialista de ESET, reveló cómo fue capaz de obtener los detalles de inicio de sesión de cuentas de servicios online de sus amigos en unas pruebas que hizo con el consentimiento previo de estas personas. Su investigación demuestra cuán expuestos estamos frente a los atacantes, que cada día se vuelven más sofisticados y astutos para sus modos de hurto, especialmente en entornos informales como los son: bares, cafés y restaurantes.

Estas fueron las plataformas en las que se hizo el experimento

Credenciales de Snapchat

Para el primer «hurto» controlado, se le apostó a un amigo que se le podría secuestrar su cuenta de Snapchat, incluso estando protegida por la autenticación en dos pasos. Esto solo fue posible utilizando la función del restablecimiento de contraseña, donde se ingresó el número de teléfono y se seleccionó la opción para recibir un mensaje con un código de confirmación. Simplemente mirando por encima del hombro al momento de que llegara el mensaje de confirmación. Cuando apareció en la pantalla de inicio se pudo tomar el control completo de la cuenta. Incluso un segundo código SMS enviado como confirmación fue ignorado por el titular de la cuenta, pero observado e ingresado por el especialista Jake Moore apenas llegó la notificación a su dispositivo.

Ahora bien, para este experimento, como fue un «conocido» se contaba con el número de teléfono de la «víctima», sin embargo ESET plantea que aunque no se sepa este tipo de información, sí es probable que el atacante pueda encontrarlo en línea a partir de las filtraciones de datos previamente divulgados o aprovechando la información pública que se comparte en Internet o las redes sociales. Por ello es muy importante no exponer detalles de contacto de índole personal en las plataformas. El método que también llegan a usar, en caso de tener el número y nombre de forma pública, es llamar al usuario y fingir ser un empleado de dicha compañía o de la red social en cuestión. El delincuente engaña a la víctima y le pide pasar el código de seguridad que llega vía SMS.

Credenciales de PayPal

En el segundo experimento se apostó a otro amigo del especialista que podría secuestrar una de sus cuentas bancarias en línea. Esta vez fue a la página de inicio de sesión de PayPal. Se solicitó un restablecimiento de contraseña con solo conocer el correo electrónico del usuario. Se escribió y se seleccionó la opción de verificación de seguridad vía código SMS enviado a su teléfono celular. De manera similar al ejemplo anterior, Jake pudo observar encubiertamente en el dispositivo de su compañero mientras el código parpadeaba y de esta manera logró acceder al perfil monetario de amigo. En estos casos un atacante común que desconoce la información personal de su víctima, solo debe conseguir un correo electrónico vinculado a la plataforma.

Esto se puede hacer ya sea mirando por encima de su hombro o encontrando estos datos previamente investigados. Luego, tendría que acercarse al usuario para captar ese código de confirmación cuando llega al dispositivo de la víctima. Los lugares en los que se podrían suscitar este tipo de hurtos van desde una escuela hasta una oficina de trabajo. Incluso ciertos entornos en los que los presentes sepan algún dato de la potencial víctima. Si un atacante tiene sus ojos puestos en una persona que permanece en un lugar público durante un tiempo, se puede pensar que en algún momento se tendrá la posibilidad de detectar cuál es su dirección de correo electrónico.

Barreras de seguridad

De acuerdo con la compañía especializada en la detección de amenazas de seguridad, lo primero que les debe quedar claro a los usuarios es que debemos implementar las famosas «barreras de protección», que en muchos casos los actores maliciosos los pueden saltar fácilmente. Especialmente una persona dedicada de lleno a esta práctica de hurto. Puede fijarse el objetivo de robar una laptop o teléfono celular y cometer alguno de los ejemplos anteriores. La cosa no termina aquí, puesto que el delincuente podría hacer alguna de las siguientes acciones:

Cambiar las credenciales de inicio de sesión y luego extorsionar a las víctimas que quieren recuperar el acceso.
Utilizar técnicas de fuerza bruta para probar las mismas credenciales de inicio de sesión para acceder a otras cuentas.
Robar información personal para realizar fraudes de identidad o enviar mensajes de phishing.
Acceder y desviar fondos a sus propias cuentas.
Intimidar a las víctimas publicando contenido inapropiado desde sus cuentas.

¿Cómo prevenir ser víctima?

Sabemos que lo que menos desean los internautas es sufrir el impacto de un secuestro de alguna de sus cuentas, ya que esto podría durar meses si no se toman las medidas adecuadas. Los actores maliciosos pueden lograr robar fondos e información personal. Incluso se podría sufrir de intentos de phishing en los siguientes meses hasta que el delincuente tenga completo control de la cuenta. Recuperar los fondos perdidos y luego restablecer los datos de las tarjetas de crédito podría incluso tomar más tiempo en comparación a los perfiles de las redes sociales. Por ello, ESET nos comparte las recomendaciones para reducir el riesgo de ser víctima de esta modalidad de robo, estos son los puntos a seguir:

  • Nunca reutilizar contraseñas en todas las cuentas: Utilizar un administrador de contraseñas para almacenar credenciales únicas y seguras.
  • Activar la autenticación en dos pasos (MFA), pero elegir una aplicación de autenticación. por ejemplo:
    Google Authenticator
    Microsoft Authenticator
    En lugar de la opción de código SMS.
  • Siempre mantenerse alerta al iniciar sesión en las cuentas en público: Eso podría significar dejar de trabajar en:
    Aviones
    Trenes
    Aeropuertos
    Vestíbulos de hoteles
    Lugares similares abarrotados de gente.
    Recomiendan que de ser necesario, al menos se trabaje de espaldas a una pared.
  • Usar una pantalla de privacidad para la computadora: De esta manera se reduce considerablemente la visibilidad de la pantalla para quienes no estén frente al monitor.
  • Desactivar las notificaciones de visualización del contenido en pantalla para:
    SMS
    Correos electrónicos
    Activarla solo para alertas: si alguien accede a una cuenta sin consentimiento es importante investigar de inmediato.
  • Nunca dejar ningún dispositivo fuera desatendido en un espacio público: Y asegurarse de que esté bloqueados con códigos de acceso fuertes.

“Los delincuentes que se dedican a espiar por encima del hombro siguen siendo una amenaza, en gran medida, subestimada. Esto no significa que probablemente intenten engañarte con más frecuencia de esta manera que a través de un phishing. Pero, sí aplican las mismas reglas: mantenerse alerta, estar preparado y realizar buenas prácticas de seguridad”, concluyó el investigador de ESET, Jake Moore.

Fuente: El Heraldo de México

Leave a reply