Hay personas que han experimentado situaciones en las que sus dispositivos se vieron infectados por software malicioso, bien por haber descargado apps y ejecutándolas, entrado a sitios maliciosos o llegando a hacer clic en enlaces con intenciones engañosas. Un clic puede suponer el inicio de una infección de un dispositivo digital o red. Pero, en este artículo vamos a explorar cuándo, cómo ocurre y qué podemos hacer para evitarlo.
Anteriormente en este blog, hemos visto cómo personas que intentaron descargar aplicaciones para ver películas y series gratis, sus credenciales fueron robadas. Otras, entrando a sitios maliciosos desde un enlace que les llegó por mail o mensaje, simulando ser de una entidad u organismo conocido, introdujeron sus datos voluntariamente y fueron víctimas de engaño.
Los ciberdelincuentes, también pueden vulnerar navegadores para hacer que aparezcan pop-ups con enlaces maliciosos bajo la apariencia de un captcha, o bien simulan problemas técnicos, como se ha comprobado mediante la técnica de ClickFix.
Entre las estrategias de los ciberdelincuentes, existen tipos de ataques que implican la distribución de enlaces maliciosos, por lo tanto, la pregunta que muchas personas se llegan a hacer es: ¿es posible la infección de un dispositivo con sólo hacer clic en un enlace? Pues, la respuesta es “Sí”, pero vamos a aclarar en qué condiciones puede darse esta situación.
¿Se puede infectar un dispositivo con sólo hacer clic en un enlace?
Cuando hacemos clic en un enlace, nuestro navegador carga una página web. Los sistemas operativos móviles modernos (como Android e iOS) tienen barreras que impiden que un sitio instale software de forma automática. Por lo tanto, con sólo hacer clic, no se descarga ni ejecuta el malware, en principio.
No obstante, los atacantes implementan métodos cada vez más sofisticados para poder atravesar las barreras de seguridad, y pueden forzar la descarga de un archivo. Dichas técnicas, como los llamados «drive-by download», malvertising o exploit kits, sólo funcionan si el sistema tiene vulnerabilidades sin corregir. Es decir, si el navegador, sistema operativo u otro componente adicional (como plugins o extensiones), está desactualizado o tiene fallas de seguridad, el clic puede bastar para iniciar una infección sin que el usuario lo note.
En la mayoría de los casos, el enlace malicioso sirve de puerta de entrada para una cadena de engaños que necesita en su etapa final, que el usuario ejecute manualmente el archivo malicioso (por ejemplo, una APK o archivo .exe). Como se ve en la técnica de captchas falsos o ClickFix, la víctima es engañada para que siga unos pasos, que no harán otra cosa que instalar el malware en su dispositivo.
Tipos de ataques más comunes
En la actualidad, existen una gran variedad de ataques, y día a día van apareciendo nuevas, pero en ellas hay ciertas tendencias y denominadores comunes: la mayoría dependen de conseguir engañar al usuario o conseguir los permisos necesarios (ingeniería social), otros aprovechan vulnerabilidades en los sistemas o aplicaciones.
Los más comunes que podemos encontrarnos pueden ser:
- Spyware: uno de los tipos más vistos de software malicioso, y de los favoritos para llevar a cabo crimeware (malware diseñado para automatizar ciberdelitos con el objetivo de obtener beneficios económicos). Básicamente, es un malware que “espía” a la víctima, recopilando datos de teclado, navegadores, sistema, obteniendo capturas de pantalla o grabando audio, entre otras funcionalidades.
- Phishing / Spear-phishing: son ataques cibernéticos dirigidos a un individuo u organización específica, que utiliza tácticas de ingeniería social para engañar a la víctima y robar información confidencial, como contraseñas, datos bancarios, o instalar malware. Puede llegar vía email, mensajes de texto o redes sociales, para que el usuario entregue sus credenciales, determinada información, ejecute acciones como descargar archivos o entre a sitios falsos.
- Troyanos bancarios: es un tipo de software malicioso orientado a obtener información bancaria o financiera, como credenciales de acceso a cuentas. Pueden realizar capturas de teclado, suplantan a entidades bancarias o redirigen a sitios falsos, entre otros.
¿Cómo ejecutan estos ciberataques?
Los ciberataques, por lo general, siguen una serie de pasos que en el argot de la ciberseguridad se denomina Cyber Kill Chain, que consta de los siguientes pasos:
| Etapa | Descripción |
|---|---|
| 1. Reconocimiento | Los atacantes lo inician mediante la investigación, identificación y selección de objetivos. Esta información es obtenida a partir de sitios web, redes sociales, listas de correo electrónico o cualquier otra actividad que permita identificar el tipo de información que pueda ser útil. |
| 2. Militarización | Una vez se conoce cómo funciona una empresa o el objetivo y qué tecnologías utiliza, los atacantes deciden la forma en la que actuarán a continuación. Por ejemplo, utilizando un troyano que contenga un exploit, para aprovechar una vulnerabilidad específica de los sistemas de la empresa o usuario. |
| 3. Entrega | Una vez definido el método de ataque, buscan la forma más conveniente y menos arriesgada de propagar su amenaza: como archivos adjuntos de correo electrónico, sitios vulnerables, dispositivos USB, entre otros. |
| 4. Explotación | Una vez que se propaga la amenaza, los atacantes esperan a que el código malicioso sea ejecutado, explotando la vulnerabilidad elegida, en un sistema operativo o aplicación en particular. |
| 5. Instalación | Después de lograr explotar la vulnerabilidad, es utilizada para acceder al sistema de la víctima para lograr la persistencia en el entorno y obtener el acceso a la información buscada. |
| 6. Comando y control | Teniendo el control del sistema, los atacantes establecen los canales de comunicación que a distancia les van a permitir controlar el sistema vulnerado. |
| 7. Acciones sobre objetivos | Una vez que se introducen dentro de los sistemas de las víctimas, los atacantes buscarán la mejor forma de obtener la información, lograr accesos a aplicaciones específicas o seguir moviéndose dentro de la red, para buscar otros objetivos. |
El mito de entrar a una página y que nos saqueen la cuenta bancaria
Se suele escuchar con demasiada frecuencia, que cuando una persona cuenta su experiencia tras haber perdido dinero, entiende que la causa de ello fue visitar alguna página que considera maliciosa.
Realmente, una simple visita a una web no puede vaciar nuestra cuenta bancaria por sí sola. Los navegadores no permiten acceso directo a las credenciales bancarias o apps financieras si no existe interacción.
Por lo tanto, para que eso ocurra, debe haber un robo previo de credenciales (como hemos explicado anteriormente) o un acceso remoto tras una instalación de malware. Lo más probable, en estos casos, es que el usuario haya entrado a una página falsa (creada por los ciberdelincuentes para engañarle) y haya introducido en ella sus credenciales bancarias auténticas. Podría ser una página falsa de compra y venta de productos, por ejemplo, o una página que suplante a la web de una entidad bancaria. Una vez introducidas las credenciales, los atacantes se hacen con ellas y de esta manera, acceden a la cuenta de la víctima.
Existe también otra posibilidad, como puede ser ingresar en un sitio web que nos llevó a descargar un archivo malicioso (scripts, ejecutables, etc.), archivos que podrían tener dentro de sus funcionalidades, la de recopilar información del dispositivo, capturas de teclados, contraseñas almacenadas en el navegador y por lo tanto, permitiría a los atacantes hacerse con nuestras credenciales de acceso.
En caso de sospechar que se produjo un acceso malintencionado a cuentas bancarias, captura de credenciales, o se haya sufrido la pérdida de dinero, lo más recomendable es:
- Proceder a cambiar contraseñas desde un dispositivo seguro.
- Avisar al banco o entidad financiera inmediatamente.
- Revisar los movimientos de las cuentas y desactivar las transferencias automáticas.
- Activar la autenticación en dos pasos (2FA), medida que no nos cansamos de recomendar, para proteger mejor nuestra cuenta y garantizar que sólo nosotros podamos acceder a ella, incluso si alguien llega a obtener nuestra contraseña.
Conclusión
En resumen, sólo un clic no tiene por qué ocasionarnos los incidentes detallados, pero debemos prestar atención antes de hacerlo, dado que podemos abrir una puerta a los ciberdelincuentes, si caemos en la trampa para entrar a sitios fraudulentos, realizamos descargas o ejecutamos archivos maliciosos.
La mayoría de ataques que se inician con ingeniería social requieren de nuestra participación, con actividades como instalar, aceptar permisos o entregar información. A la hora de hacer clic es importante tener cierto criterio, prestar atención a posibles señales de alerta, no ser impulsivos, incluso llegar a desconfiar, lo cual podría salvarnos de un ciberataque.
No obstante, como humanos podemos ser engañados y ser víctimas de estas amenazas. Por ello, es importante contar con medidas de seguridad, como contraseñas robustas, doble factor de autenticación, sistemas y aplicaciones actualizadas y contar con soluciones de seguridad, como antivirus o antiphishing, capaces de detectar y detener potenciales comportamientos maliciosos.
STI 2020 ® 
Deja un comentario