¿Has recibido un inquietante correo con tu contraseña en el asunto?

Publicado el en Seguridad por Jaime Gómez Obregón.

Estás tomando un café y algo en el bolsillo te indica que tienes correo nuevo. Desenfundas el móvil y echas un vistazo rutinario al buzón, pero te da un vuelco el corazón y otro la taza de café: algo no va bien.

El mensaje es anónimo pero el remitente eres tú mismo. ¿Cómo es posible? El asunto revela una de tus contraseñas que vienes utilizando habitualmente, que por supuesto solo tú conoces. O eso creías. Y el texto del correo no da lugar a dudas: alguien –no dice quién– ha logrado acceder a tus dispositivos y ha estado espiando tus comunicaciones, robando tus contraseñas y datos personales y profesionales. Sabe todo sobre ti, incluso ha grabado videos y conversaciones activando sigilosamente la cámara y el micrófono de tu teléfono y tus ordenadores. La prueba es que te escribe desde tu propio buzón, y sabe tu contraseña. Ahora te pide 800 € en bitcoins para no hacer pública esa información entre toda tu agenda de contactos.

¿Te suena esta historia? Yo mismo la he vivido, y varios clientes nos están contactando alarmados víctimas del mismo chantaje. Antes de arrastrar este inquietante correo a la papelera y retomar el café, veamos qué es lo que ha pasado y cómo mejorar notablemente tu seguridad personal online con un sencillo hábito.

Comprueba si estás en riesgo con Have I Been Pwned?

Casi todos los servicios digitales más populares han sufrido en los últimos años alguna brecha de seguridad que ha supuesto la filtración de datos personales de sus usuarios: LinkedIn sufrió en 2012 el robo de los datos de 164 millones de usuarios; el año siguiente sucedió con Tumblr: 65 millones. Adobe (2013) 153 millones. Dropbox (2012), decenas de millones. Badoo (2016), 112 millones. Snapchat (2014), 4,6 millones. Desde supermercados online hasta aerolíneas; si estás vivo y usas internet, es muy probable que alguno de los servicios que utilizas o has utilizado haya sufrido una brecha de seguridad que ha puesto algunos de tus datos privados en manos equivocadas.

Es tan probable que la seguridad de alguno de los servicios online donde has depositado tu confianza haya sido comprometida, que incluso existe un sitio público donde puedes consultarlo: haveibeenpwned.com (el divertido e intraducible juego de palabras en inglés pasará desapercibido para mucha gente). Escribe ahí tu dirección de correo y te dirá si consta en alguno de los bancos de datos robados en los últimos años.

Las malas noticias son estas: no puedes evitarlo. El reciente Reglamento europeo de protección de datos personales –el popular RGPD– establece un marco regulatorio e impone a las empresas y profesionales europeos unas políticas de tratamiento de datos personales que asumen la inevitabilidad de la filtración de datos pero establecen medias paliativas y mitigadoras de los riesgos de ciberseguridad.

La disección de un sofisticado engaño

El inquietante intento de chantaje que están experimentando varios de nuestros clientes en ITEISA tiene su origen en alguna de estas brechas de seguridad, probablemente la sufrida por LinkedIn hace unos años: los datos filtrados han sido vendidos en el mercado negro de internet o simplemente han sido publicados como quien exhibe un trofeo de caza. Y aunque generalmente solo comprenden las direcciones de correo electrónico y contraseñas de decenas de millones de usuarios, basta esto para emprender una campaña masiva y automatizada de chantaje a gran escala.

No eres, por lo tanto, la diana cuidadosamente escogida de un delincuente cercano, sino el enésimo objetivo anónimo de una campaña automática de fraude global basada en la capacidad de chantajear por correo electrónico a millones de personas casi simultáneamente.

Ya sabemos de dónde ha obtenido el defraudador tu contraseña, pero; ¿cómo ha logrado escribirte desde tu propio buzón? Realmente no lo ha hecho, pues como sucede como en el correo postal: el remitente de un mensaje de correo electrónico es una dato a discreción del remitente que es fácilmente manipulable y en el que por lo tanto no debemos confiar. El mensaje ha sido enviado desde otro sitio, pero tu nombre está escrito en las dos caras del sobre.

Las cosas en realidad son un poco más complicadas, y lo que hace notable esta reciente campaña de ciberfraude es la sofisticación que ha demostrado el atacante –seguramente un grupo– al averiguar por prueba y error –fuerza bruta– la contraseña de cada víctima a partir de los registros filtrados, donde las contraseñas se encuentran casi siempre ofuscadas (una especie de cifrado consistente en una transformación matemática irreversible y por lo tanto indescifrable). Todo un alarde de medios y capacidad, pues se necesitan conocimientos, tiempo y una infraestructura computacional importante para hacerlo a gran escala.

El fraude se completa, cómo no, con la solicitud de un pago en bitcoins, una criptomoneda donde las transacciones de pago son públicas pero las personas no.

Lo que ha sucedido, en resumidas cuentas, es que alguien ha robado a un tercero una contraseña que utilizas y te ha escrito simulando tener mucha más información de la que realmente tiene de ti. Si utilizas esa misma contraseña para acceder a otros servicios online entonces debes cambiar tu contraseña inmediatamente en todos ellos. Igual que no compartes la misma llave en varias cerraduras, no debes usar la misma contraseña en varios servicios.

Mitiga los riesgos de seguridad en tu empresa

Si ya son importantes en el ámbito doméstico, los riesgos de ciberseguridad en el contexto empresarial de la pyme española deben considerarse críticos. El Instituto Nacional de Ciberseguridad (INCIBE) realiza una labor evangelizadora en este sentido, y toda pequeña o mediana empresa debería conocer su catecismo y observar sus mandamientos.

En materia de seguridad de la información una de las actuaciones con mejor relación entre beneficio y coste es implantar en tu empresa un gestor de contraseñas: una herramienta que os ayudará a tener contraseñas siempre seguras que nunca se reutilizan entre servicios y que no hace falta memorizar. Más aún, un gestor de contraseñas os permitirá implementar una política de gestión de contraseñas eficaz, con un inventario de credenciales, trazabilidad de su utilización, mecanismos para compartirlas con personas y equipos de trabajo, y procedimientos para cambiarlas cuando alguien abandona la organización o pierde su confianza.

En ITEISA hemos evaluado cuatro servicios de gestión de contraseñas desde la perspectiva de uso de una pyme española con varios trabajadores: 1Password, LastPass, Dashlane y Keeper. El rango de precios varía entre la gratuidad y 48 € por trabajador y año, y hemos evaluado parámetros como la facilidad de uso, la calidad de la atención al cliente o la arquitectura de seguridad.

Publicaremos próximamente nuestras conclusiones de este análisis comparativo, con el que pretendemos –al igual que con este artículo– ayudar a las pymes españolas a adoptar hábitos que reduzcan sus riesgos de ciberseguridad así como a mejorar su cultura sobre seguridad de la información.

Podemos ayudarte a inculcar una cultura de ciberseguridad

Si no puedes esperar y deseas comenzar a explorar estas herramientas en tu organización, simplemente dinos a través de nuestro chat o escríbenos un correo y te ayudaremos a arrancar. También estamos realizando en nuestros clientes auditorías de seguridad que concluyen con un informe de actuaciones de mejora, acompañando a cada empresa en todo el recorrido de la mejora de la seguridad de su información.