Así es como un hacker intentará acceder a tu ordenador en 2021 (y cómo puedes evitarlo)

El hackeo y el ciberintrusismo han aumentado en los últimos meses como efecto colateral de la pandemia del coronavirus. Como trabajar desde casa se ha convertido en lo más habitual, los ciberasaltantes han intensificado sus ataques; un ordenador personal es más frágil que un PC protegido por el equipo técnico de una empresa, y una persona normal tiene más posibilidades de despistarse y cometer un error estando en casa.

Así que es sumamente importante saber cuáles son las técnicas de hackeo más utilizadas. Este conocimiento te ayudará a prevenirte y a estar alerta a cualquier indicio de un asalto de esta índole.

Para echarte una mano al respecto, la empresa de ciberseguridad Proofpoint ha publicado un informe sobre las técnicas más utilizadas por hackers durante el último trimestre de 2020. Por lo tanto, son las artimañas más populares y las que todavía seguirán en 2021.

A continuación tienes un resumen del informe y consejos sobre cómo evitar las técnicas descritas en él.

La ingeniería social

La ingeniería social es la técnica n.º 1 que usan los hackers para intentar invadir tu PC. Es la táctica que se utiliza en el 99% de las ocasiones. Normalmente, los ciberasaltantes combinan está técnica con otra táctica que aproveche alguna brecha de seguridad.

Se entiende ingeniería social como una treta que manipula a un usuario para que sea él quien ofrezca acceso inconscientemente a los hackers. 

Por ejemplo, un asunto llamativo en un correo con malware que te incite a abrirlo es una técnica de ingeniería social. Engañarte con un aviso de falsa intrusión para que hagas clic en una URL peligrosa, que te promete contener un antivirus para salvar a tu PC, es ingeniería social. Crear una página falsa que se parece al inicio de sesión de una red social como Facebook para que introduzcas tus datos de acceso es ingeniería social.

Como ves, en todos estos ejemplos, se usa la manipulación con una herramienta más técnica: un email con malware, una URL que te descarga un virus, una página web falsa…

12 startups de ciberseguridad españolas que los fondos apuestan por seguir de cerca en 2021

El email engañoso: el caballo de Troya de los hackers

El email es el 'compañero' más recurrente de la ingeniería social. En los últimos meses, la gran mayoría de los hackeos se han producido con un correo que contenía una manipulación social y una treta técnica.

Proofpoint ha listado las técnicas más utilizadas en estos emails engañosos:

Ejecución de un macro para documento Office

Un macro es una serie de comandos e instrucciones que completan una tarea automáticamente en Office. Su misión original es ahorrar tiempo y pasos para los usuarios. Pero los hackers lo usan para infectar ordenadores; el usuario abre el documento adjunto de un mail creyendo que es importante y activa un macro difícil de detectar que ordena a Office extender el malware a todos los documentos del PC.

Evasión sandbox

En teoría, Gmail o Hotmail tienen sistemas que detectan si un email contiene virus. Normalmente, la herramienta de detección de amenazas ejecuta el contenido dudoso en un entorno protegido y aislado, en una máquina virtual por ejemplo, para verificar si es seguro o no. Pero ahora los hackers utilizan técnicas de evasión que previenen que el malware se active durante estas pruebas. Así, las herramientas de detección son engañadas y dan por válido un correo que es peligroso para el usuario. 

PowerShell

Hay técnicas que utilizan PowerShell, la herramienta de administración de Windows, para infectar el PC. Para activarse, se manipula al usuario para que entre en una página con un código que ejecuta PowerShell para invadir el ordenador. Como es una técnica que usa una herramienta oficial, es muy difícil de detectar.

HTML

Se parece a la de arriba: el usuario hace clic y llega a una página con códigos que aprovechan brechas de seguridad en navegadores e incluso Sistemas Operativos. Es un ardid difícil de detectar porque a veces se ha ocultado en anuncios dentro de webs legítimas. 

Invasión de hilos de mensajes

Esta técnica solo se utiliza cuando ya se ha conseguido el acceso a la cuenta de correo de una de las víctimas. A continuación, el asaltante escribe a los contactos de la cuenta invadida, respondiendo a hilos del pasado para hacerse pasar por la víctima y conseguir que sus contactos piquen también.

Archivos con contraseñas

En ocasiones, una herramienta de detección de amenazas no identificará un archivo con malware si este necesita contraseña para abrirse. El email incluirá instrucciones para que el usuario lo abra e infecte él mismo su PC.

Geoperimetraje

Una nueva técnica que consiste en limitar el comportamiento del malware a ciertas localizaciones, ya que este tipo de restricciones evita que el malware sea detectado.

Los 3 tipos de hackers

Proofpoint asegura en su informe que otra forma de preparar una buena defensa es conocer los grupos principales detrás de estos ataques y sus motivos. En concreto, identifica a tres tipos de hackers:

Los atacantes patrocinados por un estado: suelen actuar como espías de un gobierno, y sus objetivos son diplomáticos o militares. Es difícil que una persona normal sea víctima de ellos.

Grupos de cibercrimen: Se enriquecen con el hackeo. Normalmente son los que utilizan el ransomware: secuestrar parte de tus datos del PC, o la totalidad de ellos, y pedir un rescate económico para liberarlos. Es el grupo que más te puede afectar.

Hacktivistas: Un nuevo tipo de hackers todavía escaso, pero que cada vez tiene más fuerza. Hackean para exponer información que creen que la sociedad merece saber o para ajusticiar a personas que consideran malas.

La ciberseguridad puede ser el motor que necesita el sector tecnológico español: por qué la industria tiene tanto potencial, según los expertos

6 pistas para detectar un email fraudulento

Ingeniería social a través de email: la buena noticia de existir una técnica tan utilizada, es que te será más fácil prevenir un ataque a tu PC. Aquí tienes algunos trucos para identificar un correo electrónico engañoso:

1. Atención al dominio del correo

La primera pista de que un hacker o grupo de hackers se está haciendo pasar por una compañía legítima, como Amazon, es el nombre del dominio del correo. En concreto, es lo que va después de la @. Lo normal es que, si recibes un email de Amazon dándote una información importante de tu último pedido, el nombre del dominio sea @amazon.com. 

Desconfía si:

• El nombre del dominio corresponde a un servicio público como Gmail, Hotmail, Yahoo…
• El nombre del dominio se parece al que usa la compañía legítima, pero, por experiencia, ves que algo no encaja. Ejemplo: @amazon.net en lugar de @amazon.es.
• El nombre de la persona que te ha enviado el asunto no corresponde con el nombre que aparece en el dominio. 

2. El Bcc es una alarma a tener en cuenta

Otra pista de que algo va mal es si ves, antes de abrir el email, que la sección Bcc contiene otras direcciones o bien aparece mencionada. Bcc es la opción para enviar un solo email a múltiples destinatarios sin que estos puedan ver a los demás. Los hackers lo usan para enviar un correo electrónico fraudulento a múltiples víctimas a la vez. Elimina un correo con esta característica sin miramientos.

3. No hagas clic si te dicen que debes hacer clic

Si has abierto un email que parecía oficial, pero has empezado a sospechar al ver que te obliga a hacer clic a un enlace para descubrir la información relevante, hay muchas posibilidades de que ese link te lleve a una página falsa o a una página que te descargue malware automáticamente.

Antes de hacer clic, pon el cursor encima del enlace. Si ves que te sale una url que no tiene nada que con lo que prometía, borra el email. Ejemplo: el enlace en teoría te lleva al inicio de sesión de Amazon pero la url es http://krtk.mdwan/fr/bakutarfgggscsem. Más sospechoso imposible.

Desconfía de todas las urls que incluyan acortadores como tinyurl, bit.ly, goo.gl… es una forma que tienen los hackers de esconder url sospechosas como la de más arriba.

4. Amason Praime

Si el texto del email no tiene enlaces sospechosos, pero está atiborrado de faltas de ortografía, ¡es una trampa! Una compañía de renombre como Amazon no se referirá a sí misma como 'Amason', o confundirá una coma con un punto.

5. No hay que emocionarse

Desconfía de las ofertas o regalos que parecen demasiado bonitos para ser verdad. O de los mensajes alarmistas que te avisan que alguien ha entrado en tu cuenta del banco. Todo lo que sea alarmista y apele a emociones como la sorpresa o el miedo es fruto de los hackers: una entidad bancaria no utilizará lenguaje amarillista para informarte de un asunto de gravedad, sino que intentará ser lo más neutro y decoroso posible.

Algunos ejemplos:

• Amazon te regala un producto así de repente
• Has ganado una lotería cuando no has participado
• Alguien desconocido te implora que le ayudes económicamente
• Avisos alarmistas de que alguien usa tu tarjeta de crédito
• Asuntos con exclamaciones o palabras en mayúsculas
• Alguien desconocido te ofrece un trabajo de ensueño
• Has ganado un iPhone, un viaje, una PS5…
• El asunto o el primer párrafo tiene una fecha límite: debes responder entre 24-48 horas por ejemplo

6. Archivos adjuntos = desconfía

Finalmente, la última de las pistas son los archivos adjuntos. Desconfía de facturas, recibos, documentos, fotos… que no has pedido a nadie. Normalmente, los ciberasaltantes aprovechan los comandos ejecutables de Word, PDF… para diseminar su malware por todo el sistema. Es la técnica de los macros que viste más arriba.

Recuerda estos consejos, muy sencillos e intuitivos, y ningún hacker podrá contigo durante este inicio de 2021.