InfoSec 101: Desconfianza – Tu primera línea de defensa

Esta entrada es parte de la serie “InfoSec 101”, en la cual se abordan temas sobre básicos sobre Seguridad Informática que, a mi parecer, tienen que ser parte de la cultura general en la Edad de la Información.

Últimamente, la mayoría de ataques informáticos que violan la privacidad de las personas y la seguridad de sus dispositivos no se realizan a través de sofisticadas técnicas de hacking y explotación de vulnerabilidades informáticas, sino a través de la inocencia e gnorancia de los usuarios, quienes tienden a creer, sin detenerse a pensar un momento, lo que otros dicen.

“Las personas son más blandas que los firewalls”

Es por esto que es importante ser desconfiado, dudar de la veracidad o de las intenciones de aquello que tenemos en frente.

Escepticismo – Ser desconfiado es algo valioso.-

El escepticismo es generalmente cualquier actitud de duda hacia el conocimiento, sea este hechos, opiniones o creencias declaradas como hechos, o de duda respecto de afirmaciones que son tomadas por supuestos en otra parte.

Escepticismo @ Wikipedia

Nunca está demás desconfiar o dudar de los motivos de otras personas.-

A veces accedemos a entrar a sitios web, compartir cosas en redes sociales y chats, dar nuestros datos a extraños y otros tipos de actividades, sin pensar mucho en lo siguiente: ¿con qué intención se está haciendo todo esto?

Y en efecto, muy pocas veces los extraños hace cosas por nosotros solamente por la bondad de sus corazones, sin esperar nada a cambio.

Existen muchas maneras en que alguien puede aprovecharse de nosotros para su propio provecho.

El daño que se nos provoca puede manifestarse de maneras diferentes. A veces es muy sutil, ni se nota que hemos dado mucha información sobre nosotros mismos, o que se ha comprometido nuestra privacidad. Otras veces el impacto es más evidente, por ejemplo cuando nos vacían la cuenta bancaria.

En fin, las consecuencias llegan tarde o temprano.

La Internet es como la calle – ¡no hablés con extraños!.-

Algunos llaman a la Internet “la super autopista de la información”. Yo lo asemejaría más a una ciudad inmensa que tiene autopistas, avenidas, calles y callejones. Cada sitio web es como una casa o edificio que podemos visitar usando nuestros navegadores.

Hay que tener muy en cuenta que los propietarios de estos sitios web o “casas” en la Internet pueden no tener buenas intenciones cuando nosotros los visitamos. El problema es que hay actores maliciosos que se valen de nuestra tendencia a creer en extraños para engañar a personas crédulas.

Como en cualquier espacio público y lugar desconocido en la realidad física, hay que tener cuidado en la Internet.

Frecuentemente se ven este tipo de situaciones:

  • Páginas web que dicen ofrecer premios (tales como celulares, tablets o hasta vehículos) a cambio de compartir algo en redes sociales tales como Facebook.
  • Páginas web de chismes o amarillismo que dicen tener una noticia INCREIBLE!! y que NO TE LO PUEDES PERDER!!! (también conocido como clickbait).
  • Páginas web que se hacen pasar por personas famosas, empresas o instituciones públicas y prometen dar regalos, bonos u otro tipo de beneficio a cambio de llenar un formulario y compartirlo con varios contactos.

A continuación, se puede apreciar un ejemplo de operación o campaña de cosechado de números de WhatsApp, en que un sitio web afirmaba que, durante la cuarentena por el COVID-19, Netflix regalaría cuentas grátis a cambio de compartir el enlace 20 veces.

Lógicamente, Netflix no tenía nada que ver en el asunto.

Ejemplo de una operación de cosechado de números de Whatsapp

Este sitio web no era particularmente bueno, ya que su diseño no se parece en nada al de Netflix. A pesar de eso, una buena cantidad de gente ha deber caído en el engaño, y sus números de teléfono han sido cosechados 🙁

Afortunadamente, el sitio se encuentra reportado como engañoso y los navegadores modernos previenen su utilización.

Sitio web bloqueado gracias a Google Safe Browsing

Pero… ¿Por qué hacen esto?

Eso se pueden preguntar muchos, y la respuesta es que luego de cosechar una cantidad interesante de números de telefono válidos, el dueño del sitio web puede vender este banco de datos a spammers, quienes los pueden utilizar para enviar publicidad y/o contenido no deseado, o quizás para identificar víctimas susceptibles a acoso y estafas.

Existen varios sitios y foros que conforman una especie de “mercado negro” en la Internet, en que se venden este tipo de bancos de información. En esos lugares también se venden credenciales pescados a través de phishing, datos de usuarios robados a través de hacking de sistemas y/o bases de datos, entre otros.

Si algo parece muy bueno para ser cierto, lo más probable es que no sea cierto.-

Hoy en día, tener un sitio web en Internet no es privilegio de grandes empresas prestigiosas con billeteras gordas. Quizás eso haya sido cierto allá en los 90s, cuando tener una buena conexión a Internet era todo un lujo.

Ahora, cualquier persona puede levantar un sitio web, desde ciudadanos comunes quienes quieren compartir información en un blog (como el presente 😉 ) hasta cibercriminales que se valen de la Internet para aprovecharse de personas incautas.

A continuación veremos algunos ejemplos de situaciones que destacan el por qué deberíamos ser desconfiados en la Internet:

  • Sitios web de personas inescrupulosas que lucran a través de publicidad engañosa
  • Sitios web que ofrecen software pirata infectado con malware
  • Sitios web que ofrecen premios muy buenos para ser ciertos

Lucro a través de publicidad engañosa o maliciosa.-

La web prácticamente se paga con publicidad.-

La gran mayoría de sitios web actualmente cubren parte o la totalidad de sus costos operativos al mostrar publicidad (advertising) a sus usuarios. Esto se suele hacer a través de imágenes o videos colocados en ciertos lugares de las diferentes páginas de un sitio web, por dar un ejemplo.

Ejemplos de publicidades en un sitio web
Fuente: Internet Advertising Introductory Guide @ Postcron.com

Para este fin se pueden utilizar redes de publicidad en línea tales como Google DoubleClick, Bing y Zedo.

No suele haber problemas cuando un sitio web muestra publicidad de una red reputable. Redes publitarias tales como las de Google suelen tener un conjunto de reglas para ambos lados:

Fuente: Adaptado de “Top 9 Benefits of Affiliate Marketing for the Affiliate”
  • Anunciantes: Son personas quienes publicitan o anuncian productos. Para estos se aplican restricciones sobre qué productos o servicios se pueden publicitar, el contenido de la publicidad, la manera en que los usuarios son redirigidos al hacer clic en una publicidad, entre otros.
    • Por ejemplo: generalmente está prohibido publicitar con contenido para adultos vulgar, publicitar material pirata o servicios que involucren violaciones a derechos de autor y enlazar hacia páginas cuyo único propósito es servir publicidad.
  • Publicadores: Son personas quienes muestran publicidad en sus sitios web, redes sociales u otros canales en la web. Para estos se aplican restricciones sobre qué contenido puede existir en el sitio web que mostrará la publicidad y la manera en que la publicidad es expuesta a los usuarios.
    • Por ejemplo: generalmente está prohibido mostrar publicidad (y lucrar por ello) en sitios web que distribuyan contenido que sea pirateado o que sea ilegal por algún otro motivo.
Malos actores y “malvertising”.-

El problema es que existen redes de publicidad en línea que están dispuestas a servir publicidad “sucia”, es decir, rebajan sus estándares, no siguen procesos de evaluación o escrutinio rigurosos, imponen menos reglas sobre el contenido y comportamiento de las publicidades, entre otras prácticas, a cambio de mayores ganancias.

Lógicamente, si la gente tiene la oportunidad de abusar la falta de reglas rigurosas, hay que tener por seguro que lo van a hacer.

Entre esta publicidad “sucia” aparece la “publicidad engañosa“, que es publicidad que pretende engañar al usuario y aprovecharse del mismo, ya sea:

  • Asustándolo, mostrando mensajes de error o advertencias falsas que incitan a descargar algún software para arreglar el supuesto error.
Ejemplo de publicidad que se hace pasar por un mensaje de error
Fuente: “Malvertising” @ Wikipedia
  • Llamando su atención con:
    • Ofertas de software gratuito
    • Oportunidades de ganar premios fácilmente
    • Clickbait: Artículos que buscan pescar clics usando títulos muy llamativos, que invitan a leer chismes, listículos u otros tipos de artículos, generalmente pobres en contenido y/o llenos de (des)información
Se llama “Clickbait” a la pesca de clics.
Fuente: “Dealing with Clickbait” @ Steve Lovelace

Hay publicidad que va más allá y trata de infectar el dispositivo del usuario al explotar vulnerabilidades del navegador. En inglés, a este tipo de publicidad se le conoce como “malvertising” (malicious advertising).

Los tipos malos tras del malvertising tienen múltiples metas ilícitas que presiguen con una determinación obstinada. Quieren hacer dinero a costa tuya al robar tu información de identificación, tus datos financieros, y tu información de contacto, entre otras cosas.

“Malvertising” @ Malwarebytes

Estos tipos de publicidad pueden afectar al usuario de algunas de las siguientes maneras:

  • Haciendose pasar como:
    • Mensajes de error
    • Mensajes o advertencias del gobierno
    • Mensajes del sistema operativo del dispositivo que estamos usando
    • Mensajes del navegador web
  • Redireccionando el navegador a lugares que no se tenía la intención de visitar.
  • Iniciando descargas no autorizadas ni deseadas (drive-by downloads), mismas que pueden contener malware (software malicioso).

Hay sitios web que lucran de manera exclusiva a través de publicidad engañosa, y lo hacen a propósito, es decir, a sabiendas. Este tipo de sitios web no tienen respeto por sus usuarios y están dispuestos a “entregarlos” a cambio de mejores ingresos.

Ejemplos de este tipo de sitios web son:

  • Blogs de amarillismo o desinformación
  • Sitios que distribuyen software pirata
  • Sitios que distribuyen series y películas pirata
  • Sitios de pornografía
  • Otros sitios con contenido potencialmente ilegal

También existen sitios web que son víctimas de distribución de malvertising no intencional. Esto se da raramente, ocurre cuando un sitio web muestra publicidad distribuida a través de una red de publicidad reputable, pero los controles de dicha red son burlados por gente maliciosa, quienes introducen publicidad con contenido o código diseñado para engañar usuarios o comprometer su seguridad.

El malvertising puede aparecer en cualquier publicidad en cualquier sitio web, incluso en aquellos que visitás como parte de tu rutina de navegación diaria.

“Malvertising” @ Malwarebytes

Sitios web de alto perfil que han sido víctimas de estos ataques incluyen a:

  • The New York Times Magazine
  • Yahoo
  • Ebay
  • Spotify
Un atacante puede valerse de una red de publicidad legítima
Fuente: Adaptado de Malvertising @ Imperva

Esta entrada está en contínuo proceso de extensión y mejoría.

Leave a Comment