Un nuevo intento de hackeo está siendo noticia en el panorama político español: tal y confirmaron fuentes militares a la agencia EFE, el CNI se encontraría investigando el intento de acceso a varios móviles del Gobierno Español. Y, según las informaciones filtradas, el ministro de justicia, Juan Carlos Campo, habría visto comprometida la información de su teléfono.
El phising o suplantación de identidad no es algo nuevo ya que lleva años poblando las bandejas de correo electrónico, aunque últimamente esta mecánica también se ve en las aplicaciones de mensajería. Los móviles son una puerta abierta a la información más privada, de ahí que los responsables de empresas y gobiernos necesiten extremar las precauciones. Por ejemplo, Albert Rivera sufrió un caso de suplantación de identidad a través de WhatsApp, también polémico resultó ser el posible ataque mediante Pegasus a varios políticos catalanes. Y varios ministros españoles habrían estado recientemente en la línea de los ataques a través del teléfono.
Ingeniería social, malware y phising a través de mensajería
El posible ataque a los ministros españoles no ha sido confirmado por el Gobierno, sí existiría cierta confirmación por parte de fuentes militares a la agencia EFE después de que El Confidencial destapase el caso. Tanto el Departamento de Seguridad Nacional de la Presidencia del Gobierno (DSN) como el Centro Nacional de Inteligencia (CNI) se encontrarían investigando si los móviles involucrados estuvieron comprometidos y quiénes se encuentran detrás.
La manera de actuar, siempre según las informaciones filtradas, fue la habitual en casos de Phising: los altos cargos del Gobierno Español recibieron un mensaje en su teléfono de remitentes supuestamente autorizados (El Confidencial cita a una 'gran embajada de España'); dicho mensaje invitaba a pinchar en un enlace; y de realizar el acceso a la web el teléfono quedaba a merced de los atacantes. No se ha especificado el sistema operativo de los teléfonos ni el malware utilizado para el ataque (lo más probable es que hubiese que instalar algún tipo de aplicación infectada).
Desde El Español aseguran que el ataque se produjo a través de la aplicación de mensajería Telegram. No está claro si el intento de hackeo formó parte de una oleada indiscriminada de mensajes (los engaños a través de la mensajería son, lamentablemente, cada vez más habituales) o si, por el contrario, los atacantes conocían los nombres de usuario y/o números de teléfono de los ministros y pudieron aprovecharse en mayor medida de la ingeniería social. Hacerse pasar por una embajada española inclinaría la balanza hacia la segunda opción.
El móvil es suficientemente seguro, nuestra confianza no
Pese a que comúnmente se denomine como 'hackeo' aquellos ataques que ponen en riesgo la integridad de un dispositivo, lo cierto es que no resulta habitual que el atacante apunte directamente al teléfono ya que existen posibilidades ínfimas de romper su seguridad (sin que por ello resulte imposible). Lo más lógico es que las personalidades con cierta notoriedad tengan actualizados sus smartphones, incluso pueden haber implementado medidas extra de seguridad, como herramientas contra el malware. De ahí que la ingeniería social se haya convertido en el caballo de Troya perfecto.
Debemos poner en duda cualquier mensaje que nos incite a instalar una aplicación, pulsar en un enlace web, descargar un vídeo o acciones similares, incluso aunque el mensaje nos llegue desde un contacto conocido (y especialmente en estos casos). Y cuanta menos información personal dejemos en Internet mucho mejor: si compartimos datos privados, actividad, amigos, fechas de nacimiento o información relacionada, al posible atacante le resultará bastante sencillo crear un perfil con el que ganarse nuestra confianza. Quizá no tengamos la importancia de un ministro, pero no por ello dejamos de tener riesgos de caer en las redes del Phising.
Ver 1 comentarios