Ingresar a una publicación engañosa –como en este caso en el muro de Facebook– puede llevar a un complejo ataque informático que termina con el secuestro de la información de su PC o dispositivo.
La vida de Angélica*, una joven empresaria, se convirtió en una pesadilla después de dar un clic en el lugar equivocado. Un cibercriminal le robó las contraseñas de sus cuentas bancarias y redes sociales. Después cifró el acceso a los archivos más relevantes del disco duro (documentos de Word, Excel, videos e imágenes) y le pidió casi dos millones de pesos a cambio de devolverle el acceso.
Angélica tomó la decisión de no pagar, pues así la aconsejaron los expertos en seguridad informática. Ante la negativa, el ciberdelincuente acudió al chantaje: de no entregar el dinero solicitado, difundiría imágenes e información comprometedoras, como fotos de desnudos.
Incluso, durante semanas, el ‘hacker’ había estado vigilando cada movimiento de Angélica y la había grabado en momentos íntimos a través de la cámara web de su computador. La joven se enfrentaba a un experimentado cibercriminal, cuya estrategia principal es engañar a sus víctimas a través de Facebook.
(También: 'CIA perdió control de su arsenal cibernético': Julian Assange)
Angélica vio una encuesta en el muro de Facebook de un amigo. Foto: Eset. |
Pesadilla, a un clic
Lo que empezó como una actividad cotidiana en esa red social se volvió una pesadilla para Angélica. Uno de sus amigos acababa de compartir una publicación en su muro. Parecía una encuesta cualquiera. El enunciado rezaba: “Participa en el concurso ‘Dónde se come la mejor carne’ y gánate una GoPro Hero 4. Debes acceder y compartir el siguiente enlace: http://...”.
La joven dio clic en el vínculo e ingresó, en efecto, a un formulario. No había señales de que la página fuera maliciosa en lo absoluto. Estaba decorada con fotos de suculentos trozos de carne.
Entretanto, el cibercriminal recibía una notificación en BeEF, una herramienta utilizada para tomar control de los navegadores de potenciales víctimas que ingresan a páginas engañosas, como la de aquel formulario.
A través de BeEF, el delincuente accedió a información del navegador usado por Angélica: la versión, el idioma, el sistema operativo, la resolución de pantalla, los complementos instalados (Flash, Java RealPlayer, QuickTime, Windows Media Player, entre otros), desde qué página se conectó y hasta qué tipo de equipo usaba: de escritorio o portátil. Como curiosidad, el criminal no usaba Windows, sino una distribución de Linux llamada Kali, muy popular entre expertos en seguridad informática porque brinda herramientas útiles para probar sistemas.
Con la información, el delincuente supo que Angélica usaba Flash, un complemento para ver contenido multimedia y que ha entrado en desuso, precisamente, porque no es seguro. A través de BeEF, el atacante lanzó una actualización falsa de Flash, que desplegó una alerta engañosa en el navegador de Angélica. En su sesión de Google Chrome, Angélica encontró un recuadro que invitaba a actualizar su versión de Flash: “An update to Adobe Flash Player is available”. Le dio aceptar. Entró a una página en blanco con una dirección peculiar, compuesta solo por números (192.168.37.66). Le resultó extraño, pero no le dio mayor relevancia.
(Le puede interesar: Las diez amenazas cibernéticas más peligrosas en la actualidad)
Arriba, debajo de la barra de favoritos, vio una burbuja de diálogo que enunciaba: “Java se ha detenido porque no está actualizado” –Java es un complemento usado por algunas páginas web que permite ejecutar aplicaciones en el navegador– con dos opciones: ‘actualizar complemento’ o ‘ejecutar esta vez’.
Angélica dio clic en ‘ejecutar esta vez’. Después de eso, en su navegador se desplegó una aplicación que parecía ser de Java. Y, aparentemente, no sucedió nada más. Pero esos breves pasos le dieron al delincuente acceso al computador de su víctima. Con solo escribir un par de comandos en la terminal de su máquina (aquella clásica ventana donde solo se ven caracteres blancos o verdes sobre un fondo negro), accedió a los archivos del PC de Angélica.
Amo y señor
El atacante ganó privilegios de administrador y se convirtió en amo y señor del computador de su víctima. A esas alturas, solo habían pasado unos cincos minutos desde que Angélica dio clic en la publicación de Facebook. Uno de los comandos más peligrosos usados por el atacante en su terminal fue ‘keyscan_start’. Así instaló una suerte de ‘programa’ que registraba cada una de las teclas que Angélica presionaba. Terminó conociendo las contraseñas bancarias y de redes sociales de Angélica. Cada vez que ella accedía a una cuenta y escribía su contraseña, él también las veía.
El criminal también accedió a la webcam del computador. Angélica no tapaba la cámara de su portátil, como lo hace Mark Zuckerberg, el presidente de Facebook, y el atacante pudo grabar momentos íntimos sin que ella se percatara. El delincuente remató su faena, cinco días después, infectando el computador de Angélica con una muestra de ‘ransomware’ llamada Petya (código malicioso que cifra la información dentro del equipo de la víctima y luego le pide un rescate, en forma de bitcoines, para recuperar la información)
Desde el punto de vista de Angélica, cuando se ejecutó el ‘ransomware’, ella vio una clásica pantalla azul de errores. Después se reinició el computador y comenzó un proceso de “reparación del sistema de archivos de C:”. En realidad, el disco duro no estaba siendo arreglado, sino encriptado. Cuando concluyó esa supuesta fase de ‘revisión’, en la pantalla apareció una calavera. Después de presionar una tecla, se desplegó un mensaje con las instrucciones para pagar el rescate en una billetera virtual de bitcoines.
Era tal el control del atacante sobre el computador que borró cada rastro de sus actos, lo que dificultó el proceso de análisis llevado a cabo por las autoridades.
* Nombre cambiado por seguridad. Este relato fue posible gracias a información proporcionada por Denise Giusto, ingeniera especialista en seguridad informática de Eset Argentina.
No caiga en la trampa
Diego Espitia, experto en seguridad informática de Elevepaths, una organización de Telefónica, explica que la mayoría de engaños que circulan en Facebook tienen forma de publicaciones virales y sumamente atractivas.
“Desde ‘post’ que imitan videos porno hasta noticias falsas cuyo título despierta pasiones. No todo lo que circula por Facebook es benigno”, dice. Para protegerse revise con atención cada página que visita y cerciórese de la dirección. “Desconfíe de premios fáciles y no descargue aplicaciones que prometen funciones privilegiadas”, agrega.
ÉDGAR MEDINA
Redacción Tecnósfera
@EdgarMed en Twitter