Este ataque a cuentas de Gmail no aprovechó una vulnerabilidad del sistema, sino que abusó de la confianza de los usuarios.
Su mejor amigo dice que necesita pasar a buscar unos papeles por su casa y le pide la llave; usted se la da, con confianza.
Cuando llega a casa, la encuentra desvalijada. Angustiado, llama a su amigo. Él nunca le pidió la llave. No sabe de qué habla. ¡Cómo puede ser! Usted le dio la llave en persona. Pero resulta que no era su amigo, era alguien que se hizo pasar por él. Y usted le creyó.
Eso, pero en el mundo virtual -con implicaciones muy reales-, es lo que según Google le ha pasado a cientos de altos funcionarios de Estados Unidos, periodistas chinos y activistas políticos, usuarios de su servicio de correo electrónico Gmail.
A diferencia del ataque que sufrió Gmail en 2010 y que sacaba provecho de una vulnerabilidad en los sistemas de la compañía -como ocurrió con Hotmail de Microsoft el mes pasado- esta vez el ataque se basó en lo que se denomina "ingeniería social".
El procedimiento se conoce como spear phishing. El atacante envía un email -o varios, hasta que consigue "hacer caer" a la víctima- que parece provenir de un contacto conocido. El mensaje está escrito de forma convincente y suele contener un vínculo a un sitio web (a veces disfrazado como un archivo adjunto) que la víctima es incitada a visitar.
El contenido del sitio puede contener un código malicioso, ofrecer descargar algún tipo de documento que instala software espía o dañino (spyware o malware) o, como en el caso de este ataque, una copia casi idéntica de la página de acceso a Gmail, como ha informado el sitio especializado Contagio Dump, uno de los primeros lugares donde apareció reportada esta estafa cibernética.
Cuando los funcionarios, activistas y periodistas atacados intentaban ingresar, efectivamente le estaban "regalando" su contraseña -la llave de casa- a los hackers.
Y con la llave en la mano, pueden acceder a detalles de contactos, revisar los correos en busca de información sensible, contraseñas para acceder a otros sistemas o datos bancarios. Además, pueden generar reglas que hacen que todos los mensajes se reenvíen a una tercera dirección de email, para que el cibercriminal pueda seguir la actividad de la cuenta sin siquiera tener que ingresar en ella.
Cualquier usuario de correo electrónico está expuesto a ser víctima de este tipo de ataque.
Ni nuevo, ni sofisticado
Mila Parkour, investigadora en seguridad informática y responsable de Contagio Dump, dijo que el método de ataque "está lejos de ser nuevo o sofisticado" (hay registros de phishing de hace más de una década).
"(Las contraseñas) son demasiado flexibles, transferibles y fáciles de robar... Sin embargo, seguimos usándolas por limitaciones técnicas y porque los usuarios las encuentran fáciles de utilizar"
Dan Kaminsky, experto en seguridad informática de DKH
Parkour le dijo a la BBC que fue alertada de este ataque a usuarios de Gmail en febrero, pero no quiso dar detalles de quién le proveyó la información.
Justamente, los detalles de los usuarios de internet son uno de los elementos clave que permiten a los hackers mejorar sus estrategias de phishing.
Expertos en seguridad informática señalan que la información personal que la gente hace pública en las redes sociales, como Facebook, le facilita a los cibercriminales construir un perfil de los usuarios con los que hacer que los mensajes que les envian se vean más verosímiles.
Y una vez que caen en la trampa, y dan su contraseña a un hacker, han perdido la privacidad de su cuenta de correo.
"Las contraseñas no funcionan"
Dan Kaminsky, experto de la firma de seguridad informática DKH, cree que ese es un problema esencial: "las contraseñas no funcionan como sistema de verificación".
"Son demasiado flexibles, transferibles y fáciles de robar", dijo. "Sin embargo, seguimos usándolas por limitaciones técnicas y porque los usuarios las encuentran fáciles de utilizar".
De hecho, Gmail ha implementado hace unos meses un sistema de verificación de dos pasos, que combina el uso tradicional de nombre de usuario más contraseña con una clave generada por una aplicación instalada en un teléfono inteligente o enviada como mensaje de texto. Con esta función activada, aún si un cibercriminal accede a la contraseña de la cuenta de correo, no podrá ingresar porque le faltará la clave del "segundo paso".
Recomendaciones de Google
-
Utilice el sistema de verificación de dos pasos
-
Cree una contraseña fuerte
-
Verifique que en su cuenta de Gmail no aparezcan avisos de actividad sospechosa
-
Verifique que en su cuenta no haya reglas de reenvío de correo que usted no haya programado
Los sitios web de muchos bancos también utilizan sistemas similares, en los que los usuarios necesitan una combinación de una o más contraseñas, información clave, o -inclusive- dispositivos especiales que leen sus tarjetas bancarias para poder acceder a sus cuentas y realizar operaciones.
Sospeche
Esto no hace que deje de ser válido el tener contraseñas seguras (que no contengan palabras de uso común, combinen letras, números y otro tipos de caracteres, así como mayúsculas y minúsculas), no utilizar la misma clave para varios servicios y, cuando se conocen este tipo de ataques, modificar la contraseña de su cuenta y verificar que no hayan aparecido reglas de reenvío de emails que usted no había programado.
En cualquier caso, desde las primeras estafas que utilizaban el correo electrónico y la confianza y buena voluntad de los usuarios, los expertos en seguridad informática siguen dando el mismo consejo básico: sospeche.
Si un email llega de un contacto conocido, pero le ofrece visitar un sitio del que nunca habían hablado, o la dirección del vínculo es inusual, puede ahorrarse muchos dolores de cabeza con tan solo comunicarse con esa persona y preguntarle si efectivamente le ha enviado ese correo.
Y, mientras tanto, no abra los vínculos o los archivos adjuntos del mensaje. Si era algo urgente, ya lo llamará por teléfono (con suerte no será un hacker que, además, sepa imitar voces).
Articulo Publicado en BBC Mundo