RSS Ingeniería social

Si usas Chrome o Firefox y te encuentras de pronto en una página que te pide instalar la tipografía "Roboto Condensed" para poder mostrar la web de forma correcta, piénsalo dos veces antes de aceptar alegremente.

Se trata de una nueva forma de ataque basado en ingeniería social que ha sido reportado por el investigador de seguridad MalwareBreakdown. Si el usuario llega a confiar en el mensaje que aparece como aviso emergente, pasa a descargar un ejecutable con el supuesto paquete de fuentes y termina infectado con troyanos, keyloggers y miners.

Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.

Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.

Son un viejo "truco" que casi todos hemos visto navegando por Internet: botones verdes con flechas que simulan un auténtico botón para descargar un programa, o banners que te muestran un falso aviso de actualización para engañarte y conseguir que hagas clic.

Afortunadamente, Google ha decidido tomar cartas en el asunto, y a partir de ahora avisará a los usuarios de Chrome cada vez que entren en una página web que contenga alguno de estos elementos engañosos, a fin de minimizar el riesgo de que puedan caer en algún tipo de timo online.

Utilizar la identificación en dos pasos que servicios como Gmail ofrecen es una buena forma de reforzar la seguridad de nuestras cuentas, pero eso no significa que éstas sean imposibles de comprometer. Lo hace más difícil, sí, pero no imposible. Y si no que se lo digan a Grant Blakeman, un usuario de Instagram cuyo único problema es tener una codiciada cuenta de dos caracteres (@gb).

Según explica el propio Grant, el pasado sábado alguien consiguió hacerse con su cuenta de Instagram a través de su correo Gmail, al que también perdió el acceso. Todo ello era bastante sospechoso, ya que en su cuenta de Google tenía activada la verificación en dos pasos. ¿Cómo había podido saltársela alguien? Pronto descubrió el problema: el atacante había redirigido las llamadas del móvil de Grant al suyo propio.

Hace no mucho vimos cómo, en un ejercicio de ingeniería social, que involucraba a empresas del tamaño de GoDaddy y Paypal, Naoki Hiroshima perdía el control de su cuenta en Twitter, @N, cuyo principal valor es ser un nombre de cuenta con una única letra.

Buenas noticias para Naoki: ha recuperado el control de su cuenta, como bien ha publicado en la propia cuenta. No ha dejado pasar la oportunidad para agradecer a los empleados y usuarios de Twitter la ayuda que le han prestado.

Cuando te vas a registrar en Twitter, posiblemente tengas que probar distintos nombres de usuario antes de encontrar uno que ya esté libre. Es más, te tocará casi seguro utilizar números o guiones hasta llegar a un nombre válido que nadie esté usando. Por eso, en general, los nombres de cuatro letras o menos están especialmente cotizados hoy en día.

@N, de tan sólo una letra, pertenecía desde 2007 a Naoki Hiroshima y por él le habían llegado a ofrecer hasta 50.000 dólares. Otros, menos sutiles, habían intentado hacerse con él a través de la recuperación de contraseña, lo que hacía que emails con esta información le llegaran prácticamente cada día. Nadie lo había conseguido hasta que un atacante, con la ayuda de GoDaddy y Paypal, comenzó el chantaje.