¿Cuántas veces, antes de darle a alguien su número de teléfono, se para a pensarlo? Es posible que no se le ocurra que, dependiendo de quién se trate, al proporcionarle su número, le da la llave a una gran cantidad de información personal. Información que podría ser peligrosa si cae en las manos equivocadas.
En este artículo, vamos a examinar los distintos tipos de información personal a la que se puede acceder con solo tener un número de teléfono móvil. A continuación, exploraremos cómo se pueden utilizar los datos para crear ataques de spear phishing (phishing selectivo) —phishing dirigido a un objetivo muy concreto que emplea mensajes de texto, en lugar de correo electrónico— en tiempo récord.
El mundo en su bolsillo
Los teléfonos son los dispositivos personales por definición. Contienen una rica fotografía de nuestras vidas, desde nuestras relaciones a nuestras finanzas, o información detallada, como nuestros gustos o lo que odiamos. Este conocimiento profundo de quiénes somos y lo que nos importa los convierte en un objetivo increíblemente valioso para los ciberdelincuentes. Las tácticas eficaces de ingeniería social se basan en conocer el entramado de emociones, motivaciones y sesgos cognitivos que determinan nuestro comportamiento. En otras palabras, cuanto más sepa sobre usted un ciberdelincuente, más fácilmente podrá manipularle para que descargue un archivo malicioso, comparta información confidencial o incluso transfiera fondos a la cuenta equivocada.
Fig 1. Las denuncias de smishing presentan un crecimiento considerable en 2021
El atajo que ofrece el móvil
La mayoría de nosotros leemos los mensajes del móvil a los tres minutos de recibirlos. Esto se debe a que la relación señal-ruido de los mensajes ha sido siempre alta. No nos han enseñado a sospechar de los mensajes de texto, como ocurre con el spam y el malware en el correo electrónico, así como otras formas de mensajería informática. Por lo tanto, los mensajes que se reciben en el móvil franquean nuestras defensas mentales mucho más rápido que los recibidos en otros dispositivos.
Los proveedores de sistemas operativos móviles lo saben y han instaurado varias medidas de seguridad para evitar que se instalen aplicaciones maliciosas. Estas precauciones que se toman a nivel de sistemas previenen gran parte de la actividad con aplicaciones ilícita, aunque es cierto que muchas personas aún hacen caso omiso de las advertencias o aceptan seguir los pasos para desactivar las medidas de protección.
¿Pero qué ocurre si las apps no son el único factor de riesgo?
Qué dice de usted su teléfono móvil
Al ser el principal punto de contacto entre las distintas relaciones, redes y servicios con los que interactuamos a diario, nuestros números de teléfono están ligados a una enorme cantidad de información personal. Y precisamente es este el tipo de información que utilizan los ciberdelincuentes para crear sus campañas de phishing dirigido tradicionales. Construir estas campañas ha sido siempre un proceso largo y tedioso.
Con que el ciberdelincuente tenga su número y uno de los habituales motores de búsqueda, puede acceder a la siguiente información:
- Direcciones actuales y pasadas
- Su nivel socioeconómico y su ubicación física
- Los nombres de sus familiares
- Qué falsificar para conseguir entregar mensajes maliciosos
- El valor de su casa
- Otros detalles sobre su nivel económico
- Cuentas de redes sociales
- Información de viajes realizados, intereses y nombres de amigos para realizar suplantaciones de identidad
- Direcciones de correo electrónico
- Objetivos para la entrega de correo electrónico malicioso
- Número de identificación del vehículo
- Otros datos de estado socioeconómico, además de posibles duplicados de documentos de propiedad
- Antecedentes penales, incluidas fotografías del archivo policial
- Información que podría utilizarse para sobornos y coacciones
- Itinerarios e información de viajes
- Más detalles sobre su nivel socioeconómico y su ubicación física
- Sentencias judiciales, como las relacionadas con situaciones de quiebra, embargos, impago de impuestos, etc.
Cualquier dato obtenido de estas fuentes públicas sirve para aumentar enormemente la credibilidad de un ataque de smishing basado en ingeniería social, lo que incrementa las posibilidades de que caiga en la trampa.
Fig 2. Tabla de conexiones entre números de teléfono móviles e información personal que se puede buscar
Los móviles marcan la diferencia
Lógicamente al obtenerse de fuentes públicas, esta información también estaría disponible en un mundo sin teléfonos móviles. Simplemente sería mucho menos accesible. Su número de móvil actúa como la llave principal, conectando todas estas bases de datos y grupos de información diferentes y combinándolos en un único índice de identidad con capacidad de búsqueda. Todo esto reduce considerablemente el tiempo y el esfuerzo que tienen que dedicar los ciberdelincuentes a las investigaciones, además de ofrecerles una mayor variedad de víctimas entre las que elegir, así como más tiempo para diseñar sus ataques.
El ecosistema de la ciberdelincuencia suele ser una imagen de la economía legítima. Al igual que muchos agentes de datos ayudan a las empresas a conocer a sus clientes, sus equivalentes en la Web oscura venden incluso más información personal que obtienen de filtraciones de datos a gran escala, como las sufridas por LinkedIn, Yahoo! y Facebook. Entre los detalles personales que averiguan a través de las búsquedas y los datos procedentes de filtraciones que consiguen en sitios web, los ciberdelincuentes pueden crear los perfiles individuales que necesitan para manipular a sus víctimas.
Creación de una campaña
La creación de una campaña de phishing dirigido tradicional incluye los siguientes pasos concretos:
- Recopilación: obtención de la información mediante el descubrimiento o el reconocimiento.
- Construcción: creación de mensajes con credenciales falsas, fotos y otras señales que den confianza.
- Contacto: contacto con las víctimas a través de correo electrónico, chat o mensajes de texto.
Con su número de teléfono móvil un atacante puede agilizar enormemente la fase de recopilación de información, que lleva mucho tiempo. A continuación, si utiliza mensajes de texto en lugar de correo electrónico, el medio de entrega es mucho más vulnerable durante la fase de contacto. Todo esto se suma a un ángulo de ataque más rápido, más preciso y con más capacidad de penetración que el phishing dirigido basado en el correo electrónico tradicional.
Fig 3. Un ejemplo de un mensaje de “spear smishing” personalizado.
Desde que surgió el modelo BYOD, o el uso de dispositivos personales para las comunicaciones en el trabajo, muchos de los empleados, cuando no la mayoría, tienen cuentas de la empresa en sus dispositivos móviles. Esto amplía el riesgo más allá de la pérdida financiera y de información personal, ya que genera una exposición potencial para la empresa.
La ubicuidad y la indiscutible utilidad de los teléfonos móviles los ha colocado en una posición prominente en nuestras vidas. Nadie se cree que vaya a dejar de dar a otros su número de teléfono. Así que, ¿qué puede hacer para reducir el riesgo de que su número le haga vulnerable a un ataque?
Como suele ser el caso con la ciberseguridad, la concienciación es al menos la mitad de la batalla. Si sabe cuánta información puede descubrir un ciberdelincuente persistente sobre usted, se dará cuenta de la importancia de ser cauto, incluso cuando el texto o el mensaje de móvil parece totalmente convincente.
Bastan tres minutos para leer un mensaje en el móvil, dedique unos cuantos más a plantearse si el remitente es realmente quien dice ser.