ALERTA ANTES DEL ROBO
ANTICIPACIÓN. Eset analiza un caso real de ciberdelincuencia y ofrece consejos para evitar convertirse en víctima de los ataques más comunes, ante la utilización de técnicas como el phishing y la suplantación de identidad para hackear cuentas
Datos en una computadora. efe
En un mundo cada vez más conectado, la sofisticación de los planes de los delincuentes cibernéticos aumenta cada día para conseguir engañar al máximo número de personas e instituciones desprevenidas. Un ejemplo reciente es el caso de Solomon Ekunke Okpe y Johnson Uke Obogo, dos ciberdelincuentes nigerianos que orquestaron una operación fraudulenta, dejando un rastro de pérdidas millonarias a su paso. Recientemente, un tribunal estadounidense los condenó a varios años de prisión por su participación en estas actividades delictivas.
Durante más de cinco años, estos criminales llevaron a cabo diversas estafas a personas desprotegidas en todo el mundo, incluyendo la suplantación de identidad en correos electrónicos empresariales (conocido como BEC, por sus siglas en inglés), el engaño a trabajadores en remoto, el fraude con cheques y las estafas con tarjetas de crédito. Desde ESET, nos sumergiremos en los entresijos de la operación de estos ciberdelincuentes para revelar cómo lograron sus metas y a partir del análisis de su manera de operar, brindaremos consejos prácticos sobre cómo evitar ser víctima de estratagemas similares.
Paso 1, piratear las cuentas de correo electrónico: para acceder a las cuentas de correo electrónico de las víctimas, Okpe y sus cómplices lanzaron ataques de suplantación de identidad con los que consiguieron recopilar miles de direcciones de correo electrónico y contraseñas. Además, acumulaban grandes cantidades de datos de tarjetas de crédito e información personal identificable de los más incautos.
Por lo general, la variedad más común de phishing consiste en enviar correos electrónicos que se hacen pasar por mensajes oficiales que tienen un sentido de urgencia y proceden de instituciones reputadas, como bancos, proveedores de correo electrónico y empleadores. Utilizando pretextos y evocando un sentido de urgencia, estas comunicaciones intentan embaucar a los usuarios para que entreguen su dinero, credenciales de acceso, información de tarjetas de crédito u otros datos valiosos.
Otra técnica para entrar en una cuenta es simplemente superar una contraseña débil. Las contraseñas demasiado cortas o compuestas por un conjunto de caracteres demasiado simple son muy fáciles de descifrar con la ayuda de herramientas automatizadas. Por ejemplo, si tu contraseña tiene ocho caracteres y sólo está formada por minúsculas, una herramienta automatizada puede adivinarla en untan solo par de segundos. Aunque se utilice una contraseña compleja, si cuenta con sólo seis caracteres podrá ser descifrada con la misma rapidez. Los delincuentes también suelen aprovecharse de que la gente tienda a crear contraseñas que son extremadamente fáciles de adivinar sin necesidad de ayuda de herramientas especializadas. Según una base de datos de 3TB de contraseñas divulgadas en incidentes de seguridad, la contraseña más popular en 30 países era, «password» (contraseña). En segundo lugar, estaba «123456», seguida de la ligeramente más larga (pero en realidad no mucho mejor) «123456789». Completan los cinco primeros puestos «guest» (invitado) y «qwerty». La mayoría se descifran en menos de un segundo.