Hackers acceden a contraseñas mediante ‘spoofing’
Ciberdelincuentes han logrado identificar las credenciales de sus víctimas con una técnica de ‘spoofing’ mejorada, un método al que ahora han añadido la capacidad de captar estas claves por las pulsaciones de las teclas del teclado.
El ‘spoofing’, también conocido como suplantación de identidad, es un ciberataque que se produce cuando los agentes maliciosos se hacen pasar por remitentes de confianza para que los usuarios les proporcionen información confidencial.
Estas campañas pueden darse a través de sitios web, correos electrónicos remitidos por contactos supuestamente legítimos, servidores y direcciones IP, aunque las llamadas telefónicas también son habituales en estos casos.
Estas llamadas telefónicas suplantan el número de teléfono real de las compañías que se ponen en contacto con los usuarios -que pueden ser desde entidades bancarias hasta empresas energéticas o instituciones públicas- para que las víctimas crean que se están comunicando con el personal de estas organizaciones.
Para evitar escuchas indeseadas, para cualquier consulta o trámite bancario por vía telefónica, las entidades bancarias instan a sus clientes a introducir sus claves bancarias a través del teclado en lugar de indicarlas verbalmente.
Si bien este método proporciona mayor seguridad para acceder a datos confidenciales, no logra ser completamente efectivo, ya que ciberdelincuentes han encontrado la manera de acceder a estas pulsaciones para conocer los datos y las credenciales de sus víctimas.
Así lo ha comunicado recientemente la Policía Nacional, que ha alertado de la puesta en marcha de una nueva modalidad de estafa en la que los ciberdelincuentes combinan, por un lado, el ‘spoofing’ -accediendo a los datos personales de los usuarios- y, por otro, hacen uso de ‘keyloggers’.
Los ‘keyloggers’ o registradores de pulsaciones son un tipo de ‘malware’ que monitoriza cada tecla pulsada, de modo que es capaz de extraer información confidencial conforme a lo que la víctima introduzca a través del teclado.
Un técnica más avanzada es la denominada ‘Acoustic Keyboard Eavesdropping Keylogging Attack’, que viene a traducirse como ‘ataque de espionaje a través del teclado acústico’. En este caso, los ciberdelincuentes hacen uso de un programa que funciona con un algoritmo que reconoce el sonido que corresponde la pulsación de cada tecla.
Cierto es que existen diferentes tipos de teclados y que cada uno de ellos suena de manera distinta, pero los atacantes se encargan de que el algoritmo que utilizan puede descubrir las contraseñas a partir de distintas combinaciones de teclas.
En este sentido, conviene recordar que hace unos meses la Oficina de Seguridad del Internauta (OSI) alertó de una campaña maliciosa consistente en el envío de ’emails’ que invitaban a las víctimas a confirmar el pago de facturas fraudulentas suplantando la identidad de entidades como Banco Santander o BBVA.
Concretamente, estos correos electrónicos contenían documentos comprimidos para su descarga, contenedores a su vez de ‘malware’ de tipo troyano, que al descomprimirse permitía a los estafadores acceder a la información personal de estas personas.
La Policía Nacional ha compartido algunos consejos para que los usuarios puedan evitar este tipo de delitos en línea y ha recordado en primer lugar que tanto las compañías telefónicas como las entidades bancarias -que son las preferidas por los hackers para propagar este tipo de campañas- ya disponen de estos datos.
Esto significa que en ningún caso se pondrían en contacto directamente con los clientes para conocer esta información, puesto que ya la tienen registrada en sus bases de datos.
Asimismo, ha subrayado que ninguna empresa privada o institución pública utiliza este método para solicitar datos personales a sus clientes, y que no se recomienda facilitar datos como los números de las tarjetas de crédito, las nóminas o las credenciales de acceso a perfiles de usuario y otras cuentas.
Tampoco es aconsejable aceptar las condiciones que se ofrezcan en una misma llamada o comunicación, esto es, que es recomenable emplazar al remitente a realizar una segunda llamada para comprobar si el número de teléfono es legítimo para proceder a revelar información.
Finalmente, se deben utilizar siempre las aplicaciones oficiales de las entidades bancarias y desechar propuestas como el acceso a ellas a través de mensajes de texto o SMS.