Historias cortas de la vida real (VI) – Pequeño ejemplo de ingeniería social

Hace unos cuantos meses, una amiga que reside en otro país me escribió para contarme cómo, mientras hablaba conmigo, su novio al parecer estaba siendo estafado telefónicamente.

Parecía que iba a ser un día cualquiera en la vida de mi amiga, a quién llamaré Ana (para proteger su identidad) y su novio, al que llamaremos Carlos (porque no me acuerdo de su verdadero nombre), todo cambió cuando Carlos recibió una llamada donde una mujer (su hermana) llorando le decía que la habían secuestrado, luego, el supuesto captor se puso al teléfono y le hizo una exigencia de dinero, que, incluso, fue negociable, los supuestos captores le dijeron que les consignara lo que tuvieran a la mano. Finalmente, Carlos accedió, les hizo un giro por la no despreciable de 1500 dólares, los supuestos captores incluso le dijeron que de ese valor descontara el cargo por el giro (muy queridos ellos) y poco más queda por contar, mientras se hizo toda la transacción, consignación e incluso retiro del dinero, tuvieron a Carlos en la línea ocupado y aunque Ana intentó explicarle de diferentes formas que posiblemente lo estaban estafando, él hizo caso omiso de las advertencias. Unas horas después se confirmó que por fortuna, su hermana nunca estuvo en peligro.

Esta historia nada tiene que ver con computadores, pero que me permite ampliar un poco acerca de lo que hablaba en la entrada anterior sobre la ingeniería social, el concepto es el mismo, desviar el comportamiento de una persona para que tome alguna decisión, en este caso, una bastante errática. Vemos cómo logran crear una situación que genera confusión, porque todos podríamos llegar a preocuparnos al tener un familiar en peligro, y no sólo esto, también se puede apreciar la forma en la que ejercen distracción y control para evitar que la persona implicada no se de cuenta, mantener la mente ocupada evita que pida ayuda a alguien más o que escuche las palabras de Ana. Al final, cuando la transacción se completa y ellos hacen el retiro (notemos también que están muy bien coordinados), simplemente cuelgan y desaparecen sin dejar rastro alguno.

Tristemente esta historia no acaba con un final feliz, pero, de las adversidades de uno, otros pueden sacar provecho como por ejemplo yo al escribir esta entrada.

Este tipo de estafas son bastante comunes y hemos escuchado de ellas muy a menudo, pero allá afuera, aún hay gente susceptible de caer, por eso (y con el debido permiso), me atrevo a escribir sobre esto, confiando en que a alguien, en algún momento le sea útil, ya saben que se pueden invitar a un cafecito en el link de abajo. ¡Hasta la próxima!

Historias cortas de la vida real (II)

Los delitos informáticos como estafas y suplantaciones de identidad han aumentado por efectos de la pandemia, también se han sofisticado los métodos con los que los delincuentes intentan captar incautos y de esto tratará esta historia corta de la vida real, que sucedió hoy mismo. Aunque no tiene nada de sofisticado, tiene uno de esos “trucos de hacker” que pueden llegar a impresionar a más de uno y me parece importante compartir con todos ustedes.

Como ven en la imagen, la historia comienza con alguien (que me da a entender que no tiene mucho conocimiento en esos temas) pero decidió preguntar por una oferta de un computador que se ve bastante atractiva.

A primera vista la página no se ve mal, tiene un certificado SSL, es responsive, ponen un NIT, aunque no tiene el mejor diseño es agradable, aseguran usar la pasarela de pagos MercadoPago y demuestra cierto esfuerzo por hacer creer que es una empresa real.

Este tipo de páginas se caracterizan por no tener mucho tiempo de creadas en la red, así que precisamente ese fue el lugar donde quise investigar, rápidamente hice una revisión de los registros de WhoIs a través de esta herramienta en la red, a poner el dominio allí, esto fue lo que encontré:

El dominio en cuestión tiene a duras penas 4 días de creación, cosa que no encaja con ciertos mensajes en la dichosa página web donde supuestamente llevan consolidado un buen tiempo en la red, además muchas otras inconsistencias.

Aunque hay muchos otros factores que no estamos teniendo en cuenta, este pequeño “truco” es un buen comienzo para investigar a fondo este tipo de estafas en la red y evitarle a amigos y familiares pasar por este tipo de cosas.
Hasta la próxima.

Historias cortas de la vida real (I)

Hace un tiempo una amiga mía me contactó ya que a su vez un amigo suyo le escribió por un correo que le había llegado donde le pedían cierta cantidad de dinero en bitcoin, el motivo: tenían su contraseña y si no pagaba, iban a usar su cuenta para enviarle a todos sus contactos un video en la que hacía cosas poco decorosas y que escandalizarían al familiar más liberal mientras visitaba un sitio con contenido pornográfico. El temor de esta persona radicaba en que en efecto esa era la contraseña de uno de los dispositivos y aunque no tenía planeado pagar, no sabía qué hacer, ni como sabían su contraseña.

Esta es un tipo de estafa (entendiéndola también como una extorsión) muy común en la red y se aprovecha de tres situaciones: la primera, la fea costumbre que tienen la gran mayoria de personas de reciclar contraseñas, es decir, usar la misma contraseña para todas sus cuentas; la segunda, obtuvieron su contraseña no porque en realidad lo hayan hackeado, sino porque en algún lugar del basto mundo de internet, su correo electrónico y contraseña estaba expuesta y por último, estaban tratando de aplicar ingeniería social con un comportamiento bastante común en la red.

¿Cómo procedí?

Cuando vi el mensaje por primera vez, supe de inmediato que era una estafa y sospeché que en algún lado podría estar publicada esa contraseña, así que hice uso del servicio de Have I Been Pwned, sitio que permite verificar si un correo aparece en alguna de las filtraciones de datos de la web (de esto hablaré más adelante).

Efectivamente, alguno de los sitios en los que esta persona estaba registrado había sido hackeada y los registros de la base de datos expuestos en internet, sitios que nisiquiera recordaba que se había inscrito. Tomándome un poco de libertad, intenté ingresar a estos sitios y en uno, aún funcionaba la contraseña filtrada.

Con el misterio ya resuelto, le transmití un par de recomendaciones, debía cambiar todas las contraseñas de sus cuentas, no sobra revisar el estado del antivirus de los dispositivos, poner una contraseña que sea fácil de recordar pero no fácil de adivinar, de complejidad alta y lo más importante no reciclar contraseñas.

Espero esta experiencia sirva de reflexión para todos y nos ayude a prevenir estafas en la red.
Saludos.