Cuando se habla de delincuencia electrónica, la imagen que acude a la cabeza de muchos es la de un tipo detrás de una pantalla, tecleando código y creando sofisticadas herramientas técnicas capaces abrir una brecha en cualquier software. Sin embargo, en muchos casos la realidad está lejos de esta imagen, como ha ocurrido en los casos de robo de bitcoins que se vienen dando desde el año pasado.
Y es que los criminales están ahora apuntando ahora a víctimas que usan esta criptomoneda debido a la imposibilidad que hay de revertir una transacción o envío de las mismas. De esta manera, aunque la víctima se de cuenta del robo en cuestión de horas, no puede hacer nada al respecto, como sí puede hacerlo con dinero convencional en cuantas bancarias convencionales.
Ahora bien, ¿cuál es el método que están empleando los ladrones? Como explican con detalle en Forbes, se trata de uno que no requiere conocimientos técnicos pero no carece de sofisticación e ingenio.
La clave está en hacerse con el control del número de teléfono. Para conseguirlo, los «hackers» se dedican a localizar un representante de atención al cliente que sea un tanto negligente en cuestiones de seguridad. De esta manera, transfieren el número de teléfono a otra compañía y, por lo tanto a otro terminal que está en su posesión. A partir de ahí, todo lo que tienen que hacer es recurrir a los sistemas de autentificación en dos pasos para hacerse con todas las contraseñas del usuario que requieran y hacer las transferencias que les apetezca.
Esto le pasó a Jered Kenna, que una noche de agosto del año pasado estaba trabajando tranquilamente en su casa cuando le llegaron unas notificaciones de que las contraseñas de dos cuentas de correo habían sido resetedas. Intentó entonces colocar nuevas contraseñas empleando el método que usa un código enviado por mensaje de texto pero nunca llegó. Cuando llamó a la compañía para asegurarse de que no se le había olvidado pagar la última factura, se enteró de pronto de que él no tenía (ahora) ningún teléfono con ellos: que lo había transferido a otra empresa. Pero claro, él no había sido quien había hecho eso.
Esto le ocasionó a Kenna perder una enorme cantidad en bitcoins que no especificó, aunque señaló que era bastante grande, de varios millones de dólares, debido a que fue un usuario que empezó a minar esta moneda desde los primeros días de su aparición.
El caso de Kenna tan solo es uno más de la oleada reciente de ataques que están enfocados en altos perfiles de la industria, como capitalistas de riesgo, empresarios y altos ejecutivos. Varios de ellos han sufrido pérdidas financieras e incluso alguno llegó a ponerse en peligro físico, según cuentan desde Forbes.
Este tipo de ataques se están extendiendo cada vez más, como demuestran datos de años anteriores. En enero de 2013, la Comisión Federal de Comercio recibió 1.038 reportes de esta clase de incidentes, un número que representa el 3,2% de todos los reportes de robo de identidad que recibió la institución en ese mes. Tres años después, en enero de 2016, aumentaron a 2.658, subiendo a representar un 6,3% de los reportes de suplantación de identidad.
El arma más importante no es el software, sino la ingeniería social
La clave para realizar este ataque está, como hemos dicho, en localizar a ese empleado negligente de atención al cliente, pero también en obtener información de la víctima que permita hacerse pasar por ella. Para conseguir toda esta información, los delincuentes no recurren a otra ingeniería que no sea la social.
Según explica Chris Hadnagy, chief human hacker en Social-Engineer, una empresa que educa a las compañías para combatir los ataques de ingeniería social, «Cuando la gente piensa en hackers, piensan en alguien que accede a tu computadora a través de software y definitivamente esa no es la forma en la que está sucediendo esto actualmente».
Y es que gracias a las redes sociales, dice Hadnagy, como por ejemplo LinkedIn, Facebook, Twitter o FourSquare, es posible crear un perfil psicológico muy preciso de un usuario objetivo de manera que sea posible hacerse pasar por él. Usando esa información recopiladas de las redes (lo que come, la música que escucha, el historial laboral, etc.) se puede llamar a una empresa de telecomunicaciones para fingir que se es el objetivo, decir que se olvidó el pin de la cuenta y dar datos que son utilizados comúnmente para identificar a las personas y restablecer la contraseña.
A esto Hadnagy le une la facilidad existente para «falsificar» líneas, haciendo que parezca que se está llamando desde otro número: «Puedes hacerlo a través de la mayoría de servicios de VoIP de forma gratuita y no hay manera de validarlo. Puedo tomar el número desde el que me estás llamando y después te llamo desde ese mismo número. Si este es tu número de celular y no tienes pin, puedo usarlo para acceder directamente a tu buzón de voz. Puedo llamarte desde la Casa Blanca. Puedo falsificar cualquier número en el mundo».
Si bien este tipo de ataques no son unos a los que esté expuesto todo el mundo, aquellas personas con responsabilidades especiales y con un alto nivel social deben tomar precauciones adicionales, entre las que no solo están medidas técnicas, sino especialmente tener mucho cuidado acerca de lo que se da a conocer de sí mismo en las redes sociales: nunca se sabe quién está mirando realmente y lo que contemos, si no lo hacemos con precaución, puede ser usado en nuestra contra literalmente.
