Panda SecurityHalloween, como cualquier otra fecha señalada, se ha convertido en un territorio fértil para los ciberdelitos. Los hackers aprovechan el mayor tráfico online y el aumento de las compras para disfrazar sus estafas y camuflarse entre la multitud. La sofisticación de ciertas tecnologías hace el resto, por lo que hay que estar prevenido para no llevarse un buen susto.
Cuidado con los sustos cibernéticos de Halloween
BOO. Hay sustos que no hacen ni pizca de gracia. Menos aún cuando estos sobresaltos llegan acompañados de una amenaza real en la que están en juego tus datos personales, financieros e, incluso, tu seguridad o la de tu familia. Ejemplos podemos nombrar varios, en todos los países y para todos los gustos. A veces nos encontramos con situaciones que pretenden generar caos, como el vivido en Dublín el Halloween del año pasado cuando cientos de personas, animadas por un anuncio de un supuesto desfile que publicaba una web llamada My Spirit Halloween, acudieron a la capital irlandesa sumiendo a la ciudad en un caos y bloqueando la calle O’Connell, una de sus principales arterias.
Otras, nos topamos con campañas de phishing enmascaradas en el spam típico de estas fechas que no tienen más propósito que el robo de información personal. Sea cual sea el objetivo, lo cierto es que Halloween es una de las épocas del año preferidas para los ciberdelincuentes y, aunque no hay series oficiales que aíslen esta festividad como foco de estudio ni la sitúen por encima de otras campañas estacionales como Black Friday, Navidad o fin de año, sí que hay ciertas métricas “como las que utilizamos las compañías especializadas en ciberseguridad que muestran picos de actividad de phishing temático en Halloween”, asegura Hervé Lambert, Global Consumer Operation Manager de Panda Security.
Cómo los ciberdelincuentes aprovechan el espíritu de Halloween
Hay factores que hacen que esta festividad le salga rentable a los hackers. “Por un lado, la normalización del comportamiento online raro. Durante esta época nos llegan mensajes, memes, invitaciones, y creatividades inusuales y estrambóticas que no nos sorprenden, porque estamos en Halloween, y damos por buenas”.
También pasa que nos dejamos llevar por ofertas de última hora, por descuentos que apelan al sentimiento de urgencia y otras estrategias típicas del marketing, “que despiertan nuestro FOMO y bajan nuestras defensas”. Y es que durante estos días hay picos de compra online en disfraces, decoración, entradas, etcétera “que generan el ruido suficiente para camuflar fraudes”, apunta el experto de Panda Security, y en lugares como España donde el calendario laboral favorece por el puente de Todos los Santos, “hay menos dotación de personas, lo que retrasa la detección y la respuesta en caso de ciberataques”, avisa.
Ingeniería social estacional y automatización por IA, la mezcla perfecta
La sofisticación de la tecnología aplicada al ciberdelito hace el resto. “Cada vez más nos encontramos con campañas de phishing más realistas y adaptadas a cada víctima que aumentan las posibilidades de éxito”, dice Lambert. Y esto sucede gracias al desarrollo de la inteligencia artificial. “Esta facilita textos e imágenes que parecen hechos por una persona real, con asunto, tono e incluso errores incluidos. Provocando que los fraudes resulten más creíbles. Pero también puede generar llamadas o vídeos que suenan o parecen de alguien conocido pidiendo acciones urgentes”, señala el experto de Panda Security.
En esta época, “crece el smishing dirigido a compradores estacionales, con mensajes, SMS o códigos QR maliciosos disfrazados (quishing) de confirmaciones de envío, cupones o encuestas de Halloween que descargan malware o roban credenciales”, advierte el directivo de Panda Security. “También prolifera el typosquatting y el malvertising para tiendas en temporada. Y aparecen dominios parecidos de tiendas de disfraces, anuncios maliciosos que redirigen a páginas de pago fraudulentas o instalan extensiones o malware”.
Para evitar estos riesgos, y aunque estemos más pendientes del disfraz para la fiesta temática en casa de ‘fulanito’, debemos vigilar ciertos indicadores o señales de alerta que avisan de que algo no es del todo fiable. “Para no caer en estos engaños hay algunos truquillos que pueden resultar útiles. Como desconfiar de correos con URL acortadas o dominios recién registrados que imitan marcas de tiendas; mensajes SMS con enlaces o con QR inesperados tras hacer alguna compra online; y picos de tráfico DNS a dominios nuevos, o solicitudes de autenticación fallidas seguidas de éxitos”, enumera Lambert.
Cuidado con los fantasmas digitales
“También sería interesante revisar nuestra identidad online y analizar si hemos dejado ‘vivos’ algunos fantasmas digitales”, apunta el experto de Panda Security. Y es que, muchas más veces de las que creemos, dejamos en un limbo online cuentas y accesos que dejan un rastro que los hackers pueden utilizar contra ti. “Son sombras de identidad o de nuestros sistemas que permanecen en la red y que pueden ser explotadas”, advierte Lambert.
Esto son, por ejemplo, cuentas antiguas o ghost accounts. “Como perfiles de tiendas, foros, aplicaciones de reparto, juegos, SaaS, etcétera, que nunca cerraste y que, sin embargo, continúan vigentes”. Accesos huérfanos, “como tokens de sesión, API Keys, apps conectadas a Google, Microsoft o Facebook, llaves de terceros que siguen teniendo permisos”. Ghost data, “o copias de documentos y fotos en nubes antiguas, backups, emails archivados, dispositivos que sincronizaron y quedaron guardados”; perfiles públicos residuales, “como biografías, comentarios, fotos o listas de deseos que te identifican aunque los cierres parcialmente”. Y dominios y servicios expirados, “que fueron de tu propiedad y que ahora están libres o mal apuntados, permitiendo suplantaciones”.
Todos estos zombies digitales que circulan por la red pueden resultar peligrosos. “Porque permiten restablecer contraseñas desde cuentas antiguas, intrusiones silenciosas usando tokens o API Keys olvidadas, y son, además, una buena cantera de información para alimentar campañas de phishing dirigido o ataques a la cadena de confianza”, apunta Lambert.
Una revisión rápida puede evitar problemas y eliminar de un plumazo esos fantasmas que pueden darte un buen susto… y no sólo en Halloween.
