En el capítulo anterior, hablamos sobre “k3ylogg3rs”, pendrives “perdidos” y “sk1mm3rs”. Tres cosas de las cuales, gracias a Dios, vengo zafando. El otro día tuve que usar una Wi-Fi pública para hacer una cosa “importante” y todavía, les confieso, cargo con la incomodidad. Intento evitar este tipo de redes a toda costa, pero no me quedaba otra. Me había quedado sin datos y poco confío en las VPN, más allá de su “buena reputación”. Tendría que estudiar bien a la empresa proveedora del servicio antes de ponerme a jugar con ese tipo de chiches. Los tres pilares fundamentales, desde mi punto de vista, son: antivirus actualizado, bloqueador de anuncios y sentido común.
El día de hoy hablaremos sobre “ph1sh1ng”, falsos Wi-Fi públicos y “at4qu3s de fu3rz4 brut4”. Perdonen la escritura en lenguaje “l33t”, pero desconozco si estoy en presencia de algún filtro que puede interpretar erróneamente el contenido. Acá estamos para aprender y no estaría bueno que, por un simple filtro automático que poco analiza el contexto, el material quede rezagado.
» Ph1sh1ng:
Se denomina “ph1sh1ng” al delito de engañar personas para que transfieran dinero o compartan información confidencial como claves y números de tarjetas bancarias. Las víctimas reciben un email o mensaje de texto que imita a una persona u organización de confianza, como un compañero de trabajo, una empresa reconocida, un banco o una oficina gubernamental.
Cuando la víctima abre el email o el mensaje de texto, encuentra un mensaje pensado para “atraparla”. Así, podrían atraparnos desde el “miedo” (diciéndonos, por ejemplo, que alguien intentó entrar a nuestra cuenta de Instagram y que necesitamos ingresar a un sospechoso link para poder reestablecer la clave lo antes posible), desde la “fascinación” (como se ve en la imagen anterior) o desde la “confianza” (“Hola, ma. ¿Cómo estás? Te escribo desde mi nuevo número de teléfono. ¿Te podría molestar con un favor? ¿Me podrías transferir $10.000 por *nombre de alguna billetera virtual* que justo quise hacer una compra por internet y no me anda la tarjeta? Acá te paso mi alias: xxxxx. ¡Gracias, Ma! Te amo”).
Si la jugada de nuestro simpático amigo/a “h4ck3r” incluye un link, éste de seguro nos enviará a un sitio web que es una imitación de la web legítima (por ej. una copia muy bien hecha de la página de Instagram). A partir de acá, a la víctima se le pedirá ingresar con sus credenciales de acceso (usuario y contraseña), las cuales - en vez de dirigirse al servidor de la entidad oficial - quedarán registradas en una base de datos online a la que el/la h4ck3r puede acceder a voluntad. Y así de rápido "perdimos" nuestra cuenta.
💡Tip: Activen y usen siempre la “verificación en dos pasos” dado que, a pesar de que alguien sepa su usuario y contraseña, no podrán disponer de la “autorización final” necesaria para poder ingresar a la cuenta. Para ello, los h4ck3rs tendrían que, además, tener acceso al medio a través del cuál a ustedes les llega el código de verificación.
» Falso Wi-Fi público:
Existe un tipo de at4qu3 que consiste en crear redes wi-fi “espías” y engañar a los usuarios para que se conecten a ellas (por ej. nombrandolas como un local o tienda de la zona). De esta manera, y mediante el uso de “sn1ff3rs” (herramientas que logran detectar y leer los paquetes de información que circulan dentro de una red), el propietario de la red wi-fi (el/la h4cker en cuestión) puede ver todos los datos que se envían a través de ella. Algo especialmente peligroso para aquellos que se conectan a cualquier red abierta.
Por ejemplo: Supongamos que yo entro a un shopping - lugar donde circula mucha gente - y, mismo con mi teléfono personal, creó una red pública con el nombre de algún local o tienda del lugar (así ganamos confianza). Luego, procedo a conectar mi notebook o celular secundario a dicha red y - con ayuda de mi amigo “sn1ff3r” - comienzo a interceptar y leer todos los paquetes de información que se están enviando y recibiendo dentro de mi "generoso" y libre wifi. Seguramente, y más si se está dentro de un shopping, mucha gente entrará a revisar su hom3b4nking, su billetera virtual, etc. Sólo es cuestión de esperar. ¿Vieron que peligroso?
💡Tip: Evitar, en lo posible, las redes wi-fi públicas. Y, si las uso, ojo con los datos que envío a través de dicha red. Nunca se sabe quién puede estar del otro lado.
» At4qu3 de fu3rz4 brut4:
Un "At4qu3 de fu3rz4 brut4" es un tipo de ataque informático en el que el/la atacante intenta acceder a una cuenta o sistema informático probando todas las combinaciones de contraseñas posibles. Acá, entonces, uno podría pensar: “¡Pero, profe! ¡El h4ck3r va a tardar una vida entera si se pone a probar una por una!”. Bueno... Depende. "¿Por qué?"
Las personas que emplean este “rústico” método suelen hacerlo con programas que automatizan la tarea logrando testear cientos de contraseñas diferentes por segundo. “¡Y pero igual! ¡Hasta que justo le pegue a la que yo puse va a tardar 500 millones de años!” Bueno... Otra vez, depende. "¿Cómo así?" 🤔
Los programas utilizados para realizar "at4qu3s de fu3rz4 brut4" tienen incorporados “diccionarios” de palabras los cuales incluyen las contraseñas más utilizadas en todo el mundo (ej. “123456”). Por ende, esas serán las contraseñas que el programa irá probando primero. “¿Y cómo saben cuáles son las passwords más usadas del mundo?” Porque existen estadísticas que nacieron gracias a filtraciones masivas de claves. Supongan, por ejemplo, que alguien logra h4cke4r la base de datos de “Gmail”. Dicha persona, entonces, tendrá acceso a todas los emails y contraseñas de los usuarios de Gmail. ¿No podría entonces colocar todas esas contraseñas en un programa para analizar y contabilizar cuántas veces se repite cada una? Ahí ya me armo un “top” con las contraseñas más usadas.
Y eso no es todo. Si además el/la h4ck3r logra conocerlos un poco (ya sea porque busca información de ustedes en internet o los conoce personalmente) podría darle prioridad a ciertas palabras (ej. “Taylor Swift”, “boca”, “fútbol") para que también sean testeadas en las cientos de combinaciones posibles (ej. “taylor123456”).
💡 Tip: Utilizar contraseñas largas, sin sentido, que incluyan mayúsculas, minúsculas, símbolos y números.
Bueno, profes. Hasta aquí la segunda parte de “Las artes oscuras de la informática”. Todavía queda mucha tela para cortar: "B0tn3ts", "at4qu3s D0S", "1ny3cción SQL", "s3cu35tr0 de s3s1ón", etc. El mundo de la ciberseguridad es complejo y está buenísimo poder aprender a defendernos. Finalmente, mis sinceras disculpas por el mal uso de la palabra “h4ck3r”. El término correcto para aquellos expertos en ciberseguridad que buscan perjudicar a un tercero es “cib3rcr1m1nal”.
¡Qué tengan una hermosa semana! Éxito con el contenido.
~ Marcos.