Durante el mes pasado se han incrementado las campañas observadas desde mediados de diciembre de 2020. Los delincuentes utilizaron varias plantillas como instalación fraudulenta de Flash Player o falsas alertas de Google, pero, sin duda alguna, la que más éxito tuvo entre usuarios españoles fue la que suplantaba la identidad de Correos.
Los delincuentes detrás de estas campañas envían enlaces maliciosos a sus víctimas usando mensajes SMS que dicen provenir de esta empresa o de otros servicios de transporte como DHL. En estos breves mensajes se indica que hay un paquete en camino y se adjunta un enlace a una web preparada por los atacantes y que simula ser una página perteneciente a la empresa suplantada.
En la web fraudulenta se ofrece la descarga de una supuesta aplicación de rastreo del envío, que incluso proporciona instrucciones para instalar aplicaciones desde fuera de repositorios como Google Play. Una vez la víctima instala esta aplicación maliciosa en su terminal, los delincuentes roban las credenciales de acceso a la banca online e interceptan las comunicaciones mediante SMS que se realizan con las entidades bancarias con los códigos de verificación utilizados para autorizar transferencias de dinero.
Otra técnica usada para propagar este tipo de troyanos bancarios observada a finales del mes de enero utilizaba un enlace acortado enviado por SMS sin más información. El usuario que pulsase sobre ese enlace era dirigido a una web con contenido pornográfico donde se le indicaba que debía descargarse una aplicación para poder ver ese contenido.
Los casos de phishing también han tenido una importante presencia durante el mes pasado, con campañas suplantando a empresas de todo tipo, especialmente también a las de mensajería.
Amazon es una de las empresas que los delincuentes tienden a suplantar y así sucedió a principios de mes cuando, mediante el envío de un email relacionado con un pedido ficticio, los delincuentes dirigían a los usuarios a una web donde se realizaban encuestas y se prometía la entrega de un bono tras rellenar información que incluía datos personales y de la tarjeta de crédito.
Otros expertos en la suplantación de identidad desde hace meses son los troyanos bancarios con origen en Latinoamérica. Tras unas semanas de descanso durante el periodo navideño, enero ha visto el resurgir de troyanos como Mekotio con plantillas ya vistas anteriormente, como el envío del burofax online, la factura de Vodafone pendiente de pago o la multa no pagada de la DGT. A pesar de esta reutilización de plantillas de correo, también se han observado cambios en los archivos y técnicas usadas para tratar de infectar a sus víctimas.
Por ello, se plantean diez consejos, que se han dividido en tres ámbitos diferentes:
Reactivos
1.- Rastrear y analizar aquella información ya disponible sobre nuestra organización y los directivos de la misma. Debemos ser conscientes de cuál es nuestra huella digital y nuestro grado de exposición digital, para conocer de forma más completa y exhaustiva lo que cualquier persona podría encontrar en la Red sobre nosotros.
2.- Detectar y seleccionar aquella información susceptible de ser utilizada con fines malintencionados, para evitar ataques como la extorsión, la ingeniería social, campañas de descrédito, el fraude del CEO (una modalidad de suplantación de la identidad especialmente dirigida a empresas), etc.
3.- Evaluar si existe una separación clara y con distinto grado de accesibilidad entre el ámbito profesional y el personal. Tener clara la diferencia entre ambos aspectos, y evitar los riesgos que supone publicar fotos o información personal en los perfiles corporativos y profesionales que la empresa tiene en la Red.
4.- Analizar si nuestras credenciales digitales se han visto expuestas y/o comprometidas para evitar la violación o fuga de datos y, por tanto, otros ataques como el robo de identidad.
5.- Determinar si debemos corregir o restringir el acceso o disponibilidad a la información que está disponible en la Red para evitar cualquier riesgo.
Anticipativos
6.- Crear un protocolo corporativo de publicación de contenidos en el entorno digital. Este deberá valorar diferentes aspectos, como el hecho de no realizar publicaciones a futuro, delimitar la información que se quiere comunicar o mantener los perfiles en redes sociales en modo privado, entre otros.
7.- Considerar siempre la reputación corporativa en Internet como un aspecto que puede derivar en un riesgo digital y/o físico, tanto para nuestros profesionales como para la empresa.
8.- Tener en cuenta las recomendaciones sobre ciberseguridad en nuestros hábitos digitales, para asegurar que nuestro entorno digital está lo más ‘limpio’ posible.
Continuados
9.- Aplicar, revisar y verificar que se están cumpliendo dichas recomendaciones por medio de un monitoreo de la huella digital y del grado de exposición digital.
10.- Realizar evaluaciones de la exposición digital con la participación de los departamentos de seguridad, ciberseguridad, comunicación e inteligencia.
Fuente: Cuaderno de Seguridad
