Robo de identidad a estudiantes a través de correos electrónicos.

Ciencia y Tecnología

Escrito por: Jett Heisenberg  

Hace unos días recibí un correo por parte de una alumna del Tec, me invitaba a contestar la encuesta sobre el servicio de enfermería, todo el asunto es falso, obviamente, pero es curioso que no es la primera vez que esto ocurre en alguna universidad de México.

Usé los medios a mi disposición que garantizaran de la mejor manera mi seguridad, este punto siempre es debatible. Lo más sensato en estos casos es no usar una red doméstica, tratar de ocultar la ubicación real y en la medida de lo posible hacer que los procesos en la computadora estén aislados y todo lo que ocurra en ella, durante ese tiempo, sea volátil, es decir, que se borre de la memoria cuando se apague el ordenador.

Después de tener el link al que dirige este correo, me dediqué a ingresar a él desde la máquina “protegida”, entré al enlace y nada, la página ya no estaba activa. En ese momento decidí entrar a “la madriguera del conejo” y ver qué tan profunda era en realidad, “Follow the white rabbit Neo”, como se menciona en la película Matrix.

Parte de la información más importante que podemos tener de una página web es su dirección IP, esto podría parecer complicado, pero es como relacionar al ITESM CEM con Av. Lago de Guadalupe, los que sepan cómo llegar al ITESM CEM no necesitarán saber su dirección, pero los que no, tendrán que llegar a Av. Lago de Guadalupe y ubicar ahí el campus. Es lo mismo con las páginas web, si no sabemos en dónde está algo seguimos su dirección IP.

Ya que tenemos esa dirección, usamos uno de los miles de servicios para relacionar IP’s con los países en donde están siendo servidas, en este caso fue París, Francia. Esto no quiere decir que una organización de “Hackers” franceses quiera el login de esta universidad, sino que alguien, para protegerse, usa servicios de internet en Francia que lo hacen menos rastreable.

Imagen: Resultado de buscar la IP en el servicio de ip2location

Entonces, podemos ver que la dirección existe y también de donde viene esa conexión, pero ¿qué servicios está dando esa página, aun cuando no podemos verla en un navegador?, pues usando otro comando de Linux podemos ver que está activo un servicio de correo SMTP. Esto solo confirma porqué la página no estaba disponible de manera usual.

Imagen: Resultado del comando “nmap -Pn 20.43.33.66” el comando hace un escaneo de los puertos abiertos de un servidor
El resultado indica que solo el servicio de correo smtp está activo

Cuando intenté hacer otro escaneo de la página pude ver que ya no estaba en línea, esto es usual, en ocasiones anteriores me había pasado que al hacer estas pruebas la página dejaba de funcionar, supongo que es una medida en contra, justamente para que alguien con las habilidades y el presupuesto adecuado pueda atrapar a estos criminales, evidentemente esa persona no soy yo, deberían de ser investigadores pagados por las universidades afectadas.

El punto de estos ataques es, sin duda, robar los ID’s y contraseñas de los estudiantes, si uno de estos correos te llega desde la cuenta de un compañero lo más probable es que a ese compañero le robaron datos de una forma muy similar.

Es fácil especular para qué se usan los datos que roban, desde información bancaria hasta tus horarios de clases, también puede ser que sea una fachada para ver si estás usando la misma contraseña para tus redes sociales (pésima práctica, por cierto). Los usuarios y contraseñas en masa son un mercado muy amplio y con muchas aplicaciones.

Es poco probable que instalen alguna clase de virus, al menos desde la página principal, no es imposible, pero Google, Microsoft y sobre todo Apple tienen bastantes medidas antes de que algo realmente perjudicial llegue a tu computadora. No obstante, tu teléfono es mucho más inseguro, pero generalmente tienes que engañar al usuario para que instale el virus. De cualquier manera, no es recomendable dar clic a ningún link.

Algo muy interesante, de este caso en particular, es que el link al que llevaba este correo era una dirección de dominio muy similar al de mi escuela. Esto solo nos deja saber que cada día se están volviendo más sofisticados los ataques y que estas personas le están sacando provecho y ganancia a este robo de información, por la sencilla razón de que siguen invirtiendo en rentar servicios de hosting y dedicando tiempo a estas prácticas.

Finalmente, para que no seas víctima de este robo de datos las recomendaciones son las siguientes (no están ordenadas de ninguna manera en particular):

  • Usar contraseñas diferentes para cada una de tus cuentas.
  • La recomendación en general es no cambiar de contraseña muy frecuentemente sino tener una muy segura que varía de cuenta en cuenta.
  • Usar siempre caracteres alfanuméricos combinando minúsculas con mayúsculas y símbolos o caracteres especiales
  • De preferencia, usar frases largas y que no sean asociables a algo con sentido como:

LosXperri4oSXremolques–=!

El punto es que la puedas recordar y no tengas que hacer recuperaciones muy seguido ya que puede ser peligroso.

*Si no se te ocurre nada para tu contraseña puedes ayudarte de un generador de números aleatorios como un par de dados.

  • Usar en donde sea posible verificaciones en 2 pasos, como que te llegue un texto al teléfono con un número para iniciar sesión.
  • No seguir ligas de correo en las que no confíes, lo más probable es que si se te pide contestar una encuesta de tu escuela o realizar algún trámite puedas hacerlo desde el sitio de la institución.
  • La mayoría del software que usas puedes conseguirlo desde las tiendas de Apple, Android o Microsoft, de donde puedes saber que es seguro (casi siempre) o si usas Linux los repositorios oficiales son seguros.
  • Si tienes anotadas tus contraseñas verifica que las tengas en un lugar seguro que solo tú conozcas.
  • Puedes usar plugins, como  HTTPS, que evitarán que entres a un sitio sin encriptación y/o poco confiable.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *