Aumentan los ataques de spoofing, según PandaLabs

Delincuentes camuflados con otra identidad a través de wahtsapp

115
whatsapp

Lo ha detectado el laboratorio de Panda Security, PandaLabs: la suplantación de la personalidad a través de wahtsapp, también conocido como spoofing, se ha convertido en una de la nuevas amenazas para la ciberseguridad. Se trata de una adaptación del conocido fraude del CEO.

Uno de los mayores riesgos a los que se enfrentan las pequeñas y medianas empresas de todo el mundo es una técnica de ciberdelincuencia denominada email spoofing. Se trata de un ciberataque que consiste en suplantar la dirección de correo electrónico de otra persona. Es decir, los delincuentes envían emails desde una cuenta, pero al receptor del mensaje le llega un correo que parece ser remitido por su jefe, un compañero de trabajo o un proveedor habitual.

El fraude del CEO está evolucionando hacia los dispositivos móviles, a través de wahtsapp

Este tipo de timo no es nada nuevo. Sin ir más lejos, el fraude del CEO es, por desgracia, una técnica conocida en el mundo de la ciberseguridad que todavía sigue generando pérdidas millonarias en pymes y grandes empresas. Sin embargo, este tipo de ciberataques está evolucionando hacia los dispositivos móviles. En este sentido, PandaLabs, el laboratorio de Panda Security, ha detectado un aumento considerable de ataques de spoofing en WhatsApp en el último año.

Aunque los desarrolladores de la app han mejorado sensiblemente la seguridad por medio de un sistema de doble autenticación, el riesgo de que los hackers consigan suplantar la identidad de otra persona en Whatsapp, sigue siendo preocupante. Como prueba de ello, la compañía tiene una guía de buenas prácticas y consejos para prevenir este tipo de ataques.

Por poner un ejemplo, si se comete un descuido con el teléfono móvil, dejándolo sin supervisión en una mesa de la oficina o en un restaurante, los ciberdelincuentes pueden causar estragos. Si consiguen acceder a un smartphone y registrar un dispositivo como si fuera el teléfono de otra persona, tal y como ya le ocurrió a Albert Rivera hace unos meses, podrían iniciar conversaciones con todos los contactos de una persona haciéndose pasar por ella.

Por otro lado, no dejan de surgir nuevas aplicaciones que podrían denominarse como Hacking as a Service (por la similitud con el modelo de negocio perfectamente legal denominado SaaS – del inglés, Software as a Service) como la controvertida mSpy o SpyFone. Se trata de negocios alegales en los que se prometen acciones completamente ilícitas como el hecho de “monitorizar a los empleados” para leer qué mensajes envían o para revisar su historial de navegación.

Hay que activar siempre los métodos de autenticación de doble factor para ponérselo difícil a los ciberdelincuentes

“Se trata de aplicaciones que, en lugar de ofrecer un servicio para facilitar la integración en el mundo digital de las familias, su oferta de valor es justo todo lo contrario. En lugar de hacernos recapacitar sobre la ciberseguridad de nuestros hijos, nos proponen espiarlos”, advierte Hervé Lambert, Global Consumer Operations de Panda Security. “Desde luego, yo no confiaría datos personales de mi familia ni de las personas que trabajan conmigo, en una plataforma que me propone que les espíe y donde escriben la palabra ‘supervisar’ con Z'”, añade.

En este sentido, resulta inquietante la similitud que hay en la redacción de los textos de estas páginas web y los clásicos emails de phishing que llegan a las carpetas de spam y a las bandejas de entrada habituales. “Muchos de los mensajes que se pueden leer en las webs de estas aplicaciones contienen faltas de ortografía y unas traducciones literales del inglés, con grandes incorrecciones gramaticales, que parecen sacadas de un manual de redacción para hackers”, ironiza Lambert.

Por todo ello, tanto las pequeñas y medianas empresas como las grandes compañías y los ciudadanos de a pie, deberían buscar soluciones avanzadas de seguridad que bloqueen el malware empleado para perpetrar este tipo de ataques. Y por supuesto, activar siempre todos los métodos de autenticación de doble factor para ponérselo más difícil a los ciberdelincuentes. Pero, “lo más importante de todo es concienciar a toda la sociedad de que una única cuenta de email comprometida puede tener un efecto devastador en una empresa o en una familia”, apostilla el Global Consumer Operations Manager de Panda Security.