No existe un manual para ciberdelincuentes, pero no sería difícil escribirlo. Una de las cualidades que estos criminales informáticos deben reunir es el de la capacidad para anticiparse a sus víctimas; ya sea sofisticando sus métodos o bien previendo sus próximos movimientos.
Este mismo lunes el director y fundador de Telegram, Pavel Durov, reconocía que 70% de los nombres de usuarios registrados en la aplicación de mensajería estaban en manos de ciberokupas iraníes. Esa situación generó un masivo «cementerio» de nombres inutilizables; así «impedían a millones de personas poder usarlos para sus cuentas, grupos o canales».
«Muchos usuarios que pretendían adquirir esos nombres de usuarios reservados no solían recibir respuesta o acababan siendo estafados», lamentó Durov.
Esa es la razón por la que Telegram comenzó a liberar esos nombres de usuarios sin actividad durante al menos el último año desde mediados de agosto; para que 99% de las mismas vuelvan a estar disponibles.
La idea de un ciberokupa no es nueva en la red: imagínate las cantidades que pueden pagar multinacionales para registrar una dirección que fue registrada previamente por un tercero con voluntad de especular.
Pero lo que reveló este verano Microsoft va más allá. No es una ciberokupació sino un cibersecuestro en toda regla. La investigación que publicó hace unos días revela algunas de las prácticas más habituales que delincuentes emplean para crear cuentas en servicios web que después usarán sus víctimas.
Para entender la mecánica, basta pensar en una red social. Las plataformas vulnerables permiten a los ciberdelincuentes es la posibilidad de adelantarse a sus víctimas; registrándolas a dichos servicios sin que lo sepan y sin que lo hagan ellas mismas.
El hacker Chema Alonso, conocido por ser también el director de análisis de datos de Telefónica, lo explica en su propio blog, «Un informático en el lado del mal».
En esta entrada señala las principales conclusiones del estudio de Microsoft Research, una lectura «más que interesante» para explicar casos en los que atacantes «entran antes que la víctima en una plataforma».
De hecho, la investigación de Microsoft revela diversos escenarios de ataque, que van desde los más básicos (un atacante crea una cuenta en una plataforma con el correo y una contraseña, pero no la puede validar porque no tiene acceso al email de la víctima, sin embargo, una vez se registre la misma y la active el atacante ya podrá tener acceso a la misma) hasta otros más complejos.
Otros escenarios contemplan la creación de comandos con los que los atacantes se garantizan que las cuentas que creen a nombre de sus víctimas permanecerán iniciadas. En esos casos se pueden crear cuentas con un número de teléfono; pero el correo, que será el de su posterior objetivo, será inalterable.
También se explica como ejemplo una plataforma web que tiene cuentas presecuestradas por estos atacantes. Y, aunque las víctimas recuperen el control de las mismas, los ciberdelincuentes pueden acceder a ellas cambiando el correo de recuperación.
Estas vías de ataque dejan la puerta abierta a que criminales informáticos secuestren cuentas de correo incluso en entornos corporativos: basta con conocer algunos datos de su víctima; saber qué sitio de correo elegirá y comienzan su ataque registrando la futura dirección de correo de la víctima.
También recuerdan la importancia de mejorar la seguridad en el ámbito de la provisión de identidades en la red; ya que este tipo de vulnerabilidades permiten presecuestrar cuentas en plataformas para que las víctimas sean vigiladas por terceros. Así como la necesidad de encontrar una vía alternativa al uso habitual de contraseñas.
Varios expertos destacaron en un reciente artículo de Business Insider España que el fin de las contraseñas es ya una cuestión de tiempo; y que las mismas desaparecerían primero, precisamente, en el ámbito corporativo.
AHORA LEE: Dónde se ubica México en temas de ciberseguridad mundial
TAMBIÉN LEE: Los proveedores pueden ser la puerta de entrada a los ataques cibernéticos en las empresas