Tu seguridad está en peligro incluso en las páginas en las que no te has registrado: así 'presecuestran' tus datos los ciberdelincuentes para vigilarte

No existe un manual para ciberdelincuentes, pero no sería difícil escribirlo. Una de las cualidades que estos criminales informáticos deben reunir es el de la capacidad para anticiparse a sus víctimas, ya sea sofisticando sus métodos o bien previendo sus próximos movimientos.

Este mismo lunes el CEO y fundador de Telegram, Pavel Durov, reconocía que el 70% de los nombres de usuarios registrados en la aplicación de mensajería estaban en manos de ciberokupas iraníes. Esa situación había generado un masivo "cementerio" de nombres inutilizables que "impedían a millones de personas poder usarlos para sus cuentas, grupos o canales".

"Muchos usuarios que pretendían adquirir esos nombres de usuarios reservados no solían recibir respuesta o acababan siendo estafados", lamenta Durov. Esa es la razón por la que Telegram ha comenzado a liberar esos nombres de usuarios sin actividad durante al menos el último año desde mediados de agosto, para que el 99% de las mismas vuelvan a estar disponibles.

La idea de un ciberokupa no es nueva en la red: imagínate las cifras que pueden llegar a pagar multinacionales a fin de poder registrar una dirección idónea para su página en internet si esa misma dirección ya había sido registrada previamente por un tercero con voluntad de especular.

Pero lo que ha revelado este verano Microsoft va más allá. No es una ciberokupación al uso, sino un cibersecuestro en toda regla. La investigación que ha publicado hace escasos días el equipo de investigación del gigante tecnológico desvela algunas de las prácticas más habituales que delincuentes emplean para crear cuentas en servicios web que después usarán sus víctimas.

Para entender la mecánica, basta pensar en un servicio de cualquier tipo. Por ejemplo, una red social. Lo que en este caso permiten plataformas vulnerables a criminales informáticos es la posibilidad de adelantarse a sus víctimas, registrándolas a dichos servicios sin que ellas lo sepan —y todavía no lo hayan hecho ellas mismas—. De esta manera podrían acabar con cuentas troyanizadas. Vigiladas.

Los ataques de 'sextorsión' a ricos y famosos se multiplican: así trabajan silenciosamente los abogados para combatirlos

El hacker Chema Alonso, conocido por ser también el CDO de Telefónica, lo explica en su propio blog, Un informático en el lado del mal. En esta entrada publicada hace apenas unos días recoge las principales conclusiones del estudio de Microsoft Research, una lectura "más que interesante" para explicar casos en los que atacantes "entra antes que la víctima en una plataforma".

Lo que revela la investigación de Microsoft son diversos escenarios de ataque, que van desde los más básicos (un atacante crea una cuenta en una plataforma con el correo y una contraseña, pero no la puede validar porque no tiene acceso al email de la víctima, sin embargo, una vez se registre la misma y la active el atacante ya podrá tener acceso a la misma) hasta otros más complejos.

Otros de esos escenarios contemplan la creación de scripts con los que los atacantes se garantizan que las cuentas que creen a nombre de sus víctimas permanecerán iniciadas, también cuando sus propios objetivos se acaben adueñando de ellas. En esos casos se pueden crear cuentas con un número de teléfono, pero el correo, que será el de su posterior objetivo, será inalterable.

También se desgrana como ejemplo una plataforma web que tenga cuentas presecuestradas por estos atacantes, y en la que, aunque las víctimas recuperen el control de las mismas, los ciberdelincuentes puedan seguir accediendo a ellas, cambiando de esta manera el correo de recuperación. 

De esa manera, aunque el usuario cambie la contraseña, los atacantes podrán seguir accediendo con el link de recuperación de credenciales.

Estas vías de ataque dejan la puerta abierta a que criminales informáticos puedan llegar a secuestrar cuentas de correo incluso en entornos corporativos: basta con conocer algunos datos de su víctima, saber por qué empresa va a fichar, y comenzar su ataque registrando la futura dirección de correo de la víctima.

También recuerdan la importancia de mejorar la seguridad en el ámbito de la provisión de identidades en la red, habida cuenta de que este tipo de vulnerabilidades permiten presecuestrar cuentas en plataformas para que las víctimas sean vigiladas por terceros, así como la necesidad de encontrar una vía alternativa al uso habitual de contraseñas.

Varios expertos destacaban en un reciente artículo de Business Insider España que el fin de las contraseñas es ya una cuestión de tiempo y que las mismas desaparecerían primero, precisamente, en el ámbito corporativo.