Así son los emails que no debes abrir nunca

El caso es que los nuevos estafadores se están lucrando con esto del misterio que entraña un sobre y llevan mucho tiempo portando sus malas artes al mundo del ciberespacio. Aprovechan las posibilidades que ofrecen las plataformas digitales para engañar sin dejar apenas rastro, y, junto con la ingeniería social, perfeccionan nuevas formas de (ciber)estafa que cada vez dan mejores resultados.

Comencemos por lo básico: los correos fraudulentos que nos llegan de forma aleatoria. Nuestro gestor de correo clasificará muchos de éstos intentos maliciosos directamente como 'spam', basándose en la información de la cabecera del mensaje, probablemente porque sean descaradamente falsos. Dichas cabeceras están ocultas por defecto para las personas pero no para un ordenador, ya que contienen una especie de acuses de recibo de las máquinas por las que ha pasado nuestro email. Así, los emails que provienen de servidores cuyo dominio no se puede verificar no pasan el filtro 'aduanero' de nuestro servidor de correo. Bien por esta parte, pero ¿y si pasan el filtro? Los mensajes automáticos que contienen 'malware' por lo general tienen como objetivo infectar el mayor número de equipos posible. Probablemente se propaguen también vía email a nuestros contactos tras infectar nuestra máquina, aunque no necesariamente. Estos equipos infectados luego están a merced del atacante, que desde un servidor de comando y control (C&C) podrían enviar órdenes en momentos concretos para coordinar ataques (usando tu ordenador como un arma contra un objetivo) o bien para obtener datos del equipo infectado (por ejemplo para posteriores chantajes) o incluso secuestrarlos (el conocido y temido 'ransomware').

Piensa en la cantidad de datos que puede tener tu ordenador sobre todo tu círculo social y piensa en lo que puede hacer un atacante con esta información, cómo puede ganarse la confianza de tus contactos a través de lo que sabe de ti. Pero, sobre todo, piensa que tu ordenador es como una casa dentro de una urbanización. Si pides una pizza, el pizzero entrará hasta llegar a tu puerta. El portero no desconfiará de él porque tú has solicitado ese servicio. Pasará así los controles de seguridad y estará dentro de la vecindad. Por eso eres importante en este punto: porque tú eres quien, sin saberlo, estás invitando al atacante. Y los elementos de seguridad del perímetro son más permisivos con lo que pedimos que con lo que intenta entrar sin invitación.

Pero lo que realmente está dando quebraderos de cabeza a las empresas son los ataques dirigidos, porque están hechos con mucha más dedicación y son más difíciles de detectar. Tras ellos puede haber un trabajo al más puro estilo detectivesco para obtener información sobre la empresa, su estructura y los empleados. Análisis de vulnerabilidades desde el punto de vista social en el que las cualidades personales, aficiones, preferencias, estilo de vida... de las víctimas potenciales serán cuidadosamente estudiados para diseñar el ataque. Cuando el punto de entrada es el email, este análisis previo ayuda a construir un correo que se gane la confianza de la víctima, que despierte su interés o bien que le infunda temor. La ingeniería social no tiene escrúpulos y los atacantes usarán todo lo que crean que puede causar un efecto en nosotros para conseguir sus objetivos.

En definitiva, los ataques dirigidos suelen estar mucho mejor planificados que los aleatorios. Esto incluye tanto el plano social como el técnico, aunque no necesariamente ambos. Información es poder y cuanto más minimicemos la información que compartimos públicamente menos poder estaremos dando al atacante.

Aunque un email malicioso no tiene que contener 'malware', una de las preocupaciones más notorias es ser infectado además de engañado. Un equipo comprometido es impredecible, es como tener un extraño en casa que no sabes dónde se ha escondido ni lo que hará o cuándo. En los emails automáticos el 'malware' puede ser bastante genérico. Si no se conoce el equipo víctima lo ideal es combinar distintos tipos de 'malware'. En el mensaje de email no iría el 'malware' al completo, sino un 'downloader', algo que, al ejecutarse, solicitará a un dominio malicioso el resto del 'malware' que debe instalarse en el equipo, y para esto puede enviar las características del ordenador y obtener así la cepa que mejor se adapte para la infección.

Para que esto ocurra deberemos hacer clic en un enlace o bien abrir algún documento adjunto a nuestro email. Existen múltiples herramientas que facilitan la creación de 'malware' camuflado basándose en técnicas de ocultación. Si además el fichero es atractivo para el destinatario entonces tal vez lo ejecute sin pensárselo dos veces.

Los ataques dirigidos pueden servirse también de esas técnicas pero, además, se cuidarán de conocer mucho mejor la empresa o del empleado al que acechan. Estudiado el perfil de sus víctimas, prepararán señuelos tentadores. Incluso el 'malware' puede ser algo genuino desarrollado sólo para el entorno objetivo y por tanto no analizado previamente por ningún antivirus y/o herramienta externa y para el que puede no haber vacuna. Algo así como un Coronavirus. Este tipo de 'malware', cuando está bien hecho, es el sueño de los analistas más apasionados, que encuentran en su análisis un reto que superar. Entender nuevos tipos de 'malware' es lo que hace que podamos fabricar vacunas para que los antivirus (anticuerpos) puedan detenerlo, por eso los diseñadores del 'malware' se cuidarán mucho de que podamos analizarlo empleando técnicas anti-forense.

En un ataque dirigido el 'malware' empleado puede decirnos mucho. Lo ideal es que si se sospecha que el ataque ha sido dirigido este 'malware' no se comparta con plataformas de análisis externas sino que lo analice directamente un analista. Los atacantes monitorizan dichas plataformas para comprobar si han sido detectados y en el momento en el que subamos nuestro fichero malicioso, se pondrán manos a la obra para eliminar todo rastro posible de la operación.

La impresión general es que nunca caeríamos en un ataque que podría constar de caracteres mal formados, expresiones extrañas y demás. Pero ¿y si el email que recibimos viene como respuesta a un mensaje que hemos enviado previamente a algún contacto? Con una respuesta corta y muy general como «Para procesar la solicitud necesito firma digital del fichero adjunto». Este tipo de táctica es común cuando el 'malware' usa nuestra lista de contactos para propagarse. Si tiene acceso a los emails, puede responder a éstos. También puede copiar los emails y fabricar una respuesta desde otro equipo externo.

Otro anzuelo que puede captar nuestra atención es que en el email nos digan que han descubierto cuál es nuestra clave, y, de hecho, nos la muestren. La primera impresión podría ser sospechar que, efectivamente, tienen acceso a nuestra cuenta. Muchos de estos emails aprovechan servicios públicos que permiten comprobar si las cuentas han sido hackeadas y acceden a bases de datos públicas con listados de las contraseñas. Aunque hayas cambiado la contraseña de tu cuenta te llegarán estos mensajes, porque se generan de forma aleatoria pero para cuentas específicas de las que se conoce alguna clave en el tiempo. Estos emails no tienen que contener 'malware', pueden basarse únicamente en el chantaje para que realicemos algún pago. También tomarán mayor relevancia los mensajes que nos alertan de que nuestra cámara grabó actos sexuales, cuando son conocidos los casos de famosos que se han visto envueltos en algún escándalo de este tipo. De todos hay que desconfiar. Por lo general si tuviesen algo tangible contra nosotros nos facilitarían acceso al vídeo o imágenes en cuestión.

Otra táctica es usar direcciones de email similares a las de nuestros contactos. Esto permite que dichas direcciones de email estén registradas y que no sean sospechosas para nuestro servidor. Además, nuestras respuestas a dichos mensajes llegarán a un suplantador que actuaría como 'man in the middle'. Este tipo de engaño está siendo usado en las ya habituales estafas del CEO, donde los delincuentes suplantan al directivo de la empresa o a firmas de servicios profesionales con los que la entidad tiene relación para influir sobre los empleados con autorización para ordenar transacciones. Si la autorización para las actuaciones críticas recae en más de un empleado el atacante tendrá que ser capaz de identificar quiénes son esas personas y urdir una mentira más compleja, siendo más probable que la estafa pueda identificarse y evitarse.

Pese a que los servidores y gestores de correo electrónico cada vez están mejor equipados para identificar este tipo de acciones, los atacantes siempre encuentran nuevas vías por las que seguir engañando a los usuarios con suculentos anzuelos. Por eso la principal medida de prevención actual implica mejorar la formación de los usuarios y empleados para evitar que caigan en dichas trampas, e incluso realizar simulaciones de 'spear phishing', que es el término que se acuñó para este tipo de ataque dirigido a la estafa. Aún así quedaría mucho por hacer.