El mantra de que en Internet no todo es lo que parece sale a relucir una y otra vez y es que al fin y al cabo es lo que sucede en la red. Y sino basta poner como ejemplo un simple sorteo que podemos encontrar en cualquier red social, web o en un folleto en la calle y que podría acabar convirtiéndose en una pesadilla poniendo en riesgo nuestra seguridad en Internet y de los diferentes dispositivos móviles si de inofensivo ese sorteo tiene poco.
No podemos olvidar nunca que los ciberdelincuentes viven del engaño, cuantos más usuarios piquen más ganancia tienen. Siempre están tratando de ver el modo de llegar a cuantos más usuarios mejor ya sea usando cosas sencillas como un sorteo en red, cualquier campaña de phishing o preparando ataques dirigidos más sofisticados.
Nunca hay que olvidar que los malos son maestros de la ingeniería social como se ha visto en Palabra de hacker tanto en el ciberdebate especial sobre el tema ‘Ingeniería social, el arte de atacar al eslabón más débil‘, en el dedicado a los ‘Fraudes online, cómo identificarlos y evitarlos‘, al repasar ‘La curiosa historia del spam y cómo protegerse del phishing‘, al ver cómo ‘La realidad supera la ficción, cómo proteger la identidad digital‘ y en tantos otros contenidos.
En esta ocasión toca descubrir de una manera sencilla y práctica cómo los QR y los enlaces acortados pueden esconder un engaño que no esperamos y poner en riesgo nuestra seguridad en Internet por ejemplo por la simple participación en un falso sorteo, la tapadera perfecta para que los ciberdelincuentes hagan de las suyas y entren hasta las entrañas en nuestros ordenadores y dispositivos móviles y obtengan de manera ilícita nuestra información, datos personales, credenciales o incluso lleguen a instalar un malware, un troyano o un software espía, que de todo hay.
Raúl Fuentes (@raulfuentes77) es ingeniero en Informática y analista Informático Superior de Aplicaciones C++, Microsoft Office Specialist (MOS), Adobe Certified Associate (ACA) así como profesor en cursos de postgrado y en ciclos formativos, responsable del área de negocio en EKATEC Valencia y responsable del área nuevas tecnologías y coordinador académico de formación modalidad e-learning y seguridad informática en TAES y organizador de las Jornadas de Seguridad Informática TomatinaCON y dinamizador de Hack&Beers en Valencia.
El caso es que como cibercooperante de INCIBE-IS4K al igual que yo ambos ofrecimos una charla en TomatinaCON como hicimos en la pasada edición para concienciar sobre el uso seguro y responsable de Internet y Raúl incorporó a su charla un pequeño caso práctico que grabé y que está disponible a continuación tanto en vídeo como en podcast (desde este enlace puedes ver los vídeos de TomatinaCON recopilados en una lista de reproducción).
Seguridad en Internet, caso práctico
Tras hacer un repaso a la ‘Navegación ¿segura? por Internet‘ Raúl Fuentes expuso un caso simulado centrado en demostrar lo sencillo que puede ser clonar una página web o elaborar una aplicación maliciosa con la intención de suplantar la identidad de una web oficial o una aplicación original y engañar al usuario poniendo así en riesgo su seguridad en Internet.
Una cosa está clara los QR resultan cómodos y prácticos y en marketing se utilizan bastante ya que con un simple escaneo se obtiene una acción por parte del usuario, bien sea ir a una web determinada, descargar un archivo, ir a una aplicación para su descarga, acceder a un formulario de suscripción o de participación en un sorteo por ejemplo.
El QR en teoría está pensado para facilitar el camino a los usuarios en Internet a la hora de aterrizar en un determinado sitio en Internet pero no siempre el aterrizaje acaba en un sitio legítimo y ese es el riesgo que corremos al escanearlos. Y exactamente lo mismo sucede con los enlaces acortados.
Estas url nacieron para ‘ahorrar caracteres’ y resumir un enlace más largo en unos cuantos caracteres y así facilitar al usuario que ganara espacio u obtuviera una url, personalizada o no, mucho más breve que la original para compartir en algún sitio de manera más sencilla y práctica. Pero hecha la ley, hecha la trampa y es que estos enlaces acortados también cuentan con una contrapartida y es que el nuevo enlace pueda enmascarar un engaño.
Es posible que al pinchar en dicha url en lugar de acceder en la web legítima que pensamos nos lleve a otra que ha resultado clonada por alguien con malas intenciones para mediante esa suplantación de identidad conseguir un propósito.
Puede ser que sea que introduzcamos el usuario y contraseña pensando que es la web de acceso habitual a un servicio. Que nos suscribamos a algo o nos apuntemos a un sorteo inexistente para engordar sus bases de datos con nuestra información personal o dejemos datos personales a cambio de la descarga de un archivo, vídeo, imágenes que sirven de cebo.
Que nos dirijan a una aplicación para descargarla pero que en lugar de ser la oficial sea una aplicación clonada que se parezca en modo y forma pero que nada tenga que ver con la original y que solo sirva para sus malos propósitos y así un larguísimo etcétera de posibilidades que esconden engaños y más engaños.
Para comprobar los enlaces sean acortados o no así como también archivos que nos pueden resultar sospechosos recomiendo usar virustotal.com y para comprobar la seguridad de los QR por ejemplo Kaspersky QR Scanner.
En este caso práctico Raúl advierte de los riesgos de escanear QR o pinchar en enlaces acortados sin apenas pensar y es que un simple clic puede suponer el principio de un engaño y lo peor de todo es que dicho engaño puede pasar inadvertido a ojos del usuario ya que los malos pueden hacerse con información, datos o instalar algo en el ordenador, smartphone o tablet sin que se perciba nada extraño y poner en entredicho nuestra seguridad en Internet y los dispositivos móviles en abrir y cerrar de ojos.
Así que mucho ojo donde se hace clic o lo que se escanea, no es oro todo lo que reluce así que la aplicación del sentido común debe ir por delante siempre.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Buenas tardes Yolanda. Como siempre me parece interesante y cada vez me reafirmo más en mi pronóstico. Aunque contamos con personas como vosotros que nos capacita o instruye sobre los riesgos que tenemos acerca de estas tecnologías, seguimos desnudos ante ellas, por lo menos buena parte de la población y siguiendo sin hacer caso a ciertas advertencias.
Por desconocimiento, dejadez, falta de interés y un largo etcétera mucha gente desconoce los riesgos cuando teniendo nociones mínimas, aplicando algunas capas de seguridad y sobre todo sacando a relucir el sentido común, se podrían evitar muchos incidentes de seguridad pero bueno poco a poco se conseguirá que la gente esté más concienciada sobre el tema y conozca la importancia de la seguridad digital. Muchas gracias por tu comentario.