En nuestro rol como divulgadores de la Ciberseguridad nos toca reiterar mensajes en torno a la detección y prevención de estafas como: "Fíjate si el origen del correo es de confianza" "Revisa las faltas de ortografía" "No hagas clic en enlaces sospechosos" Muchas veces me he preguntado si estas técnicas siguen siendo efectivas para identificar una estafa online. Puede ser que como divulgadores, nos toca reiterar tantas veces lo mismo, que damos por descontado que la gente ya conoce estas pistas, que pueden estar aburridos del mismo mensaje de siempre, o por último, tal vez estamos enviando los mensajes equivocados. Las nuevas herramientas digitales como ChatGPT y la democratización del acceso a conocimiento en general me han hecho dudar muchas veces en torno a si el mensaje que estamos entregando es efectivo, o simplemente lo hacemos por una especie de ceguera en torno a las tácticas reales de los atacantes. El día a día, por otro lado, nos obliga a cambiar de foco constantemente y no disponemos del tiempo suficiente para reflexionar y desarrollar campañas de sensibilización con análisis profundo y orientado a la cultura en la que nuestros usuarios se desenvuelven. Bueno, tenía la opinión que nuestros mensajes no estaban acorde a la realidad de las estafas de hoy, hasta que quise vender mi tablet. No tengo ningún problema técnico con mi tablet, está en perfectas condiciones, sin ningún detalle, tan solo pensé que era hora de cambiar de tecnología por algo más pequeño en pantalla y ojalá con mayores prestaciones de hardware. Mi primera opción fue publicar el dispositivo en un portal de compra y venta, sin mucha fe en lograr la venta en un plazo corto. Al día siguiente de la publicación, a primera hora, los primeros mensajes de parte del "comprador": ¿En qué condiciones se encuentra la batería? Estoy interesado en el producto, pero me gustaría que me enviaras un video, a xxxxxx @ gmail.com Hasta ahí, todo normal. Sin nada que perder, hice un video corto del producto, tratando de mostrar las condiciones en que se encontraba y el acceso a aplicaciones básicas y lo envié al gmail indicado. De vuelta, el "comprador" me indica que está interesado en la compra y que durante la tarde efectuará la transacción. Durante la tarde, mientras estaba en un espacio público, tomando un café, recibo la confirmación de la transacción. 4 correos me indicaban que la venta estaba cerrada y además, la contraparte me enviaba una captura de pantalla con el cierre de la transacción en el sitio web.

Como estaba fuera de casa, toda esta información solo la pude ver mediante el smartphone. Lo primero que hice fue validar si la transacción ya me aparecía en mi cuenta del comercio. Nada. Supuse que era solo una demora entre la transferencia y la actualización, algo típico. Preferí revisar el estado volviendo a casa. Mientras tanto, el "comprador" me indicaba que quería coordinar la opción de "recogida a domicilio" (proceso que se indicaba en uno de los 4 correos de confirmación). Esta alternativa era la más cómoda, porque éste se encontraba "cuidando a su abuela". No suelo vender recurrentemente artículos, por lo que entendí que era tan solo otra modalidad de entrega disponible en la tienda. Adicional a todo lo anterior, me solicita que cuando el repartidor aparezca, le envíe una foto, tras la cual me entregaría una valoración positiva, condición para liberar el pago del producto. Ok, no suelo vender muchos productos en la plataforma, pero sí compro muuuuchos productos (necesarios e innecesarios, lo reconozco). Y no recuerdo que tuviera que dar alguna valoración positiva para liberar un pago, ni nada parecido. Fue la primera señal de que algo raro ocurría. Claro, al llegar a casa tuve un poco más claro el panorama, al ver el detalle de los correos de confirmación recibidos:

• Todos los correos recibidos venían de la dirección pago.xx.confirmado @ gmail.com.

• Uno de ellos se refería al método indicado "Una vez que recibimos la información de envío del vendedor, el dinero total será transferido a la cuenta que registres al recibir la calificación positiva. Este método de pago es para proteger tanto al vendedor como al comprador."

• Otro comprobante de la venta insistía "Recuerda que aún deben calificarte positivo para recibir el pago de su venta".

• El último correo decía "¡Confirmación de envió!"

Bueno, suficiente, caso cerrado. No necesitaba más evidencias. Demás está decir que nunca tuve una confirmación de la venta por medio del sitio oficial. Obviando la desilusión por la venta fallida, posteriormente pensaba sobre el tema del principio: ¿siguen vigentes los consejos que repetimos por años en nuestras campañas de sensiblización? Bueno, solo les puedo sugerir que consideren los siguientes 5 tips para reconocer estafas:

1. Verifiquen que el remitente es de confianza. Es muy fácil falsificar el nombre de un remitente, pero si tratan de responder a la dirección, aparecerá el correo verdadero, y no solo el nombre de fantasía.

2. Revisen si el correo recibido tiene faltas de ortografía. Como alguna vez lo leí en un artículo, es probable que los delincuentes hagan esto para "filtrar" a sus víctimas. Los atacantes van por las víctimas más vulnerables, no invierten tiempo en objetivos complejos, salvo que se trate de un ataque de alto perfil, pero eso es otra historia.

3. Confirmen la información de la transacción en el sitio legítimo, desde un dispositivo de confianza. Conviene hacer esto con paciencia y no apurarse por cerrar una venta que no está confirmada.

4. Validen siempre el proceso de venta, para verificar que no hay nada "extraño". Cualquier situación que salga de lo normal debe hacernos sospechar y levantar la guardia.

5. Este es uno de mis tips favoritos, de hecho siempre se lo comento a los usuarios. El correo de estafa siempre va a tener dos características invariables: llama la atención del usuario, y le solicita una acción. Si están presentes estas dos características, están frente a un correo sospechoso.

En definitiva, lamentablemente tengo que concluir que vamos a necesitar seguir repitiendo los mensajes que usamos en nuestras campañas por un buen rato.

Hace algún tiempo nos encontrábamos revisando las políticas de nuestro Antispam, dado que no estaba filtrando un porcentaje adecuado de correo basura, e incluso habíamos detectado correos de estafa llegando a los usuarios. Durante ese período, nuestro CIO nos avisó que había recibido un correo de estafa muy particular.

El correo decía algo como lo siguiente (el nombre no es el real del CIO):

Hola Álvaro,

Soy un hacker con conocimientos avanzados y tengo acceso a todos tus dispositivos y fotos privadas. Accedí a tus dispositivos usando vulnerabilidades de día cero que los fabricantes desconocen.

Como prueba de esto, sé que tu password del correo alvaro@dominio.cl es Metallica1990

Tengo en mi poder fotos muy comprometedoras tuyas que voy a divulgar si no me transfieres la siguiente cantidad a mi Wallet…

Lo que desconcertó al CIO era que justamente “Metallica1990” era una antigua password de su correo, que ya hace años que no utilizaba. Con risas de por medio, nos aclaró que no temía por las “fotos comprometedoras”, pero de todas maneras quería que le dijéramos qué tan probable era que sus dispositivos hubieran sido comprometidos.

Nuestra respuesta fue que no había de qué preocuparse, pero que de todas formas se asegurara que esa password no fuera reutilizada en ningún otro de sus correos o cuentas de redes sociales.

“¿Y cómo pueden estar tan seguros?”

Mmmm la verdad no podemos asegurar que la red de su hogar no tenía algún tipo de malware o un intruso, pero sí que el correo que recibió no era fruto de un ataque muy sofisticado.

Vamos por partes. Actualmente escuchamos muy a menudo que hubo una gran fuga de datos en empresas de tamaño importante. Millones de datos de clientes se filtraron. Bases de datos completas fueron publicadas. Se divulgaron datos privados de millones de usuarios. Y así, estas noticias son tan frecuentes que no nos sorprenden y han pasado a ser parte del paisaje.

Esta acumulación de filtraciones contribuye a alimentar las bases de datos de los criminales y a establecer patrones habituales de uso de claves en los usuarios.

Una forma popular de saber si nuestras credenciales han sido publicadas como parte de filtraciones masivas es “haveIbeenpowned”.

Así, podemos ver habitualmente rankings de las passwords “más usadas”. Los especialistas analizan estos datos masivos y pueden construir modelos de comportamiento de los usuarios.

Finalmente, tomando un conjunto de credenciales cualquiera de estas filtraciones, es sencillo construir un correo de estafa de este tipo, con un texto llamativo y una amenaza de filtración.

No obstante lo simple de este tipo de amenazas, hay un aspecto más alarmante que resalta la segunda parte de nuestra respuesta al CIO.

• ¿Estás ocupando esta clave en alguna de tus otras cuentas?

• ¿Estás utilizando esta combinación en algún acceso a información confidencial o sensible?

• ¿Qué tan fácil sería para un atacante tener acceso a tu información personal usando estas combinaciones?

• ¿Reciclas tus claves en cuentas importantes?

Continuando acerca de cómo podemos evitar la materialización de riesgos tecnológicos e incidentes de ciberseguridad, con el foco de ser ciber resilientes en nuestra organización, es importante lograr sinergia entre los equipos de TI, Ciberseguridad y Riesgo. Concientizarnos a nosotros mismos y entender a qué estamos expuestos, qué impactos tienen nuestras configuraciones en plataformas, desde habilitar una regla a modificar privilegios a una cuenta de usuario, subir servicios, ejecutar comandos, bajar servidores productivos, etc.

Si puedes hacer lo anterior, entonces eres una persona de altos privilegios en tu organización, y tu comportamiento debe ser prudente, no hacer un uso inadecuado de tus privilegios y ser consciente de las consecuencias que podrían traer a futuro, ya que no sabemos si el atacante ya está en tu red, e inició la etapa de reconocimiento de un incidente de ciberseguridad.

¿Estamos realmente concientizados? Nos preocupamos del usuario final, de hacer campañas al eslabón más débil de la cadena y nosotros como especialistas seguimos cometiendo errores fatales, tales como dejar en producción servidores de desarrollo, ocupar configuraciones por defecto, ocupar datos de producción en pruebas, y sobre todo… crear cuentas genéricas con altos privilegios. Sin responsables, sin monitoreo, con clave compartida, sin expiración, sin controles mínimos ante el uso por un tercero no autorizado, entonces ¿Estamos realmente concientizados?, ¿Entendemos realmente el impacto de nuestras acciones? ¿O es un juego de niños ratas?

Debemos lograr que dentro de nuestros ámbitos de gestión y trabajo estemos siempre alertas y la ciberseguridad no esté al final, muy por el contrario, que sea parte del ciclo activo. ¡En la confianza está el peligro!

Avancemos en esta materia. Hay que robustecer a nuestras líneas de TI, monitoreo y defensa:

1. Generemos concientización efectiva a la primera línea, cápsulas aterrizadas.

2. Cursos y certificaciones periódicas, dando espacio para escuchar 100% la materia versus trabajo.

3. Establecer foros de discusión con expertos dentro de su mismo ámbito de gestión.

4. Evaluar aplicación de sanciones y claridad de tus responsabilidades como funcionario.

¡La seguridad es responsabilidad de todos!