¿TE LLEGAN SMS DE PAQUETES NO ENTREGADOS?
Son pocos quienes no reconozcan un mensaje como el del encabezado, ha sido por meses uno de los ataques de phishing mas persistentes y por una simple razon: Porque funciona.
Durante la pandemia recurrimos a las compras en línea para satisfacer algunas necesidades sin tener que exponer nuestra salud, lo que creo una rutina qué persiste aun después de levantada la cuarentena. Esto le abrió las puertas a estafadores e ingenieros sociales, sabiendo que las probabilidades de encontrar víctimas nuevas cada día aumentaron gracias a la cantidad de personas que constantemente esperan entregas.
¿Cómo obtienen nuestros datos?
Para protegernos mejor primero necesitamos entender de donde obtienen números de teléfono, nombres y demás información personal. Existen cientos de sitios dedicados a catalogar los datos de contacto disponibles en la red, como www.hunter.io donde ustedes pueden poner un dominio y el buscador les arrojará todos correos que encontró para el mismo y las distintas fuentes donde los localizo (para una búsqueda completa y más detalladas necesitan pagar una suscripción)
Otra manera es a través de filtraciones: Hay sitios en la dark web donde se publican listas de clientes y empleados, entre otros, de diferentes empresas y organizaciones gubernamentales qué varios cibercriminales logran exfiltrar. Algunos los ponen a la venta, otros las dejan disponibles sin costo (porque quieren crear caos o dañar a la organización). Le ha pasado más de una vez al INE, a TODOS los bancos (A Santander en España la semana pasada), PEMEX, TELCEL y un sin fin de organizaciones. Tan solo esta semana se filtraron los datos de usuarios del sistema Llave CDMX Expediente.
También pueden comprarlo directamente de los sitios donde nosotros voluntariamente los entregamos: Cada vez que se registran para disfrutar de un juego, descargar un libro, instalar una aplicación o cualquier otro tipo de beneficio "gratuito", existe una alta probabilidad de que ellos obtengan sus ingresos vendiendo estos datos "anonimos" (pero personales) y de uso a otras empresas con motivos de "mercadotecnia". Es por esto que hace tiempo escribí un artículo entrando en detalle del porque "Si algo es gratis es porque el producto que venden eres tú".
¿Qué pasa si doy clic sobre la liga del mensaje?
El usuario Winix (@WinixRun) en Twitter decidió averiguarlo y público sus hallazgos en este hilo. Pero en caso de que no tengan cuenta o no quieran ir al sitio, se los resumo aquí (Tomen en consideración que aunque son similares entre ellos, cada SMS es diferente y la liga seguramente los llevará a distintos destinos así que el de este ejemplo es solo una de tantas posibilidades):
Primero creó una máquina virtual para probarlo de manera segura (por el riesgo de que el link pudiera llevar a una dirección qué inyecte malware en el dispositivo). Usando Firefox y a través de una red virtual (VPN) trata de ingresar a la dirección del SMS pero el sitio no carga.
Se da cuenta que esta diseñado específicamente para navegadores móviles (así aumentan su probabilidad de éxito pues un smartphone tiene pantallas más pequeñas qué dificultan detectar el engaño), así que lo abre con el modo de compatibilidad móvil del navegador.
Este resulta ser un ataque muy básico en el qué solo buscan engañar a la víctima para entregar los datos de su tarjeta. Esta deberá creer que esta enviando su información de pago a la oficina de correos de su país cuando en realidad se la esta entregando a los criminales. Para averiguar la dirección a la que se envían los datos y en que formato, Winix ingresa información improvisada qué le permita estudiar la forma en que lo hace y con ello crear un pequeño programa qué genere datos aleatorios para enviarlos periódicamente, con la esperanza de saturar la base de datos de los criminales al punto en que los de víctimas reales se pierdan entre tanta basura y desistan de usarla.
Y ahí lo tienen, un ejemplo de lo que esos molestos mensajes podrían buscar obtener. No les recomiendo tratar de averiguarlo por ustedes mismos pues, como les dije anteriormente, el qué ustedes recibieron podría inyectar un malware qué obtenga las credenciales directo del dispositivo, las cookies de sesión, fotografías/videos en la memoria y decenas de posibilidades más.
Ya qué la clave de que no sospechen del sitio a donde los llevan es usar URL cortas, lo que pueden hacer es usar este analizador de CloudFare donde la ingresan, le dan buscar y les mostrará el vinculo oculto, una vista previa de como luce y los datos del servidor. Podría ahorrarles un disgusto en el futuro.