Wi-Phishing: Pescando en el océano wifi
Los ataques de phishing, en los que los usuarios somos engañados mediante correos electrónicos o páginas falsas, han llegado a las redes wifi. Hoy explicamos los ataques Wi-Phishing: dónde se dan, cómo identificarlos y de qué manera protegernos.
Los engaños y estafas han existido siempre. Ahora se ofrece a los delincuentes una herramienta que salta fronteras y rompe barreras: Internet. Uno de los ataques más utilizado en Internet es el denominado phishing, donde el ciberdelincuente crea una página web que suplanta a la legítima para conseguir información de la víctima, normalmente credenciales de acceso a banca u otros servicios. El objetivo es, en la mayor parte de los casos, obtener un beneficio económico.
Este tipo de ataques se han combinado con las formas más habituales de conexión a Internet, como son las redes inalámbricas o WiFi, dando lugar a un ataque denominado Wi-Phishing. Veamos a continuación de qué forma se producen este tipo de ataques. Para ello, planteamos la trama de una nueva película:
Actores principales
Los principales personajes involucrados en este tipo de ataques son: el usuario víctima, el ciberdelincuente, dos redes WiFi y una página web falsa.
Escenarios habituales
Las ubicaciones en las que se realizan los ataques de Wi-Phishing son espacios públicos donde se ofrece una conexiónWiFi gratuita como: restaurantes, hoteles, estaciones o aeropuertos, centros comerciales, edificios públicos, etc?
La trama
Comienza nuestra historia en «Cofising», una famosa cafetería de la ciudad. El usuario víctima (al que llamaremos amistosamente Vic) ha pedido un café y se dispone a conectarse con su portátil a la WiFi que ofrece la cafetería de forma gratuita.
En el otro lado de la sala, con su ordenador portátil y su potente, aunque discreta, antena, vemos a nuestro ciberdelincuente llamado Jack. Muestra una sonrisa maligna y parece estar esperando algo.
Cuando Vic mira en su portátil la lista de redes WiFi disponibles, observa dos redes llamadas Cofising_WiFi. Sin embargo, una de ellas está protegida por contraseña y la otra no, por lo que Vic decide conectarse a la que no tiene contraseña. Mas fácil, ¿no?
Ahora la sonrisa de Jack se amplía brevemente. ¡Ya ha picado uno!
Vic entra en su navegador y pulsa su acceso directo a su red social favorita. Su primo le puso ese acceso para que accediera siempre de forma segura, usando https. Cuando lo pulsa, le aparece en su pantalla un mensaje como éste:
Vic no se sorprende demasiado porque ya le ha aparecido alguna vez y nunca le ha pasado nada. Además, no entiende muy bien de qué le están hablando, lo que quiere es entrar a la página web. Así que, sigue el mismo proceso de siempre y continúa. Ahora sí que por fin entra en la página web de la red social.
Hay algo que sí le resulta extraño. La página le pide que introduzca sus credenciales (usuario y contraseña). Normalmente entra directamente, pero de vez en cuando se las pide, así que se estruja un poco el coco, introduce su contraseña y… ¡vaya! ¿Qué pasa? ¿Vuelve a pedirme la contraseña otra vez?? Vic introduce de nuevo la contraseña y, ahora sí, accede a la página de la red social. ¡Y gratis!
La sonrisa de Jack no puede ser menos disimulada. Ya tiene el usuario y la contraseña de Vic.
Desenlace
¿Qué ha pasado? ¿Por qué Jack tiene la contraseña de Vic?
Veamos qué ha sucedido paso a paso:
En primer lugar, Jack, que sabe mucho de estas cosas, ha desplegado desde su ordenador una red WiFi con el mismo nombre que la de la cafetería. Además, como su antena es muy potente, la cobertura de la red es mayor que la de la red legítima. Así es más atractiva para los inocentes usuarios. Por supuesto, Jack no pone ningún impedimento para que la gente pueda conectarse, por eso él tampoco pone contraseña en su red inalámbrica falsa.
A continuación, cuando Vic se ha conectado a la WiFi y ha accedido con su navegador a la web de su red social preferida, realmente estaba accediendo a una web que Jack ha creado con una copia exacta de la página de la red social en concreto (tiene varias páginas más en la recámara con las páginas más comunes).
Si nos hemos fijado en el detalle, el navegador de Vic, intentando protegerle, le está diciendo que el certificado que está recibiendo, el cual ha sido enviado por Jack, no corresponde con la dirección a la que trata de ir. Pero, como esto le ha pasado otras veces, Vic sigue adelante.
Por último, cuando Vic accede a la página falsa creada por Jack, introduce su usuario y su contraseña y le da a enviar, pero? ¿A dónde? Al equipo de Jack. ¿Y qué hace Jack? Reenvía a Vic a la página original de su red favorita. Ya no lo necesita para nada más. Ya tiene sus credenciales. Una vez conseguidas las credenciales de la víctima, Jack desmonta su falsa red WiFi, ya no la necesita para nada más. Así que Vic, de repente, pierde la conexión a Internet.
Vic se extraña del corte en la conexión, pero estas cosas suelen pasar, sobre todo en las WiFi públicas, así que vuelve a conectarse, esta vez, a la única WiFi con nombre Cofising_Wifi que detecta su equipo. La diferencia es que esta vez para obtener acceso a la WiFi tiene que pedir la contraseña al camarero. La introduce en el ordenador y sigue navegando como si nada hubiera pasado?
Secuela
En la segunda parte de la película, las cosas no van tan bien para Vic:
- Se han publicado en su red social cosas que él no ha dicho ni ha subido
- Se han mostrado fotos a todo Internet que Vic sólo compartía con ciertos usuarios
- El correo electrónico también hace cosas raras. ¿Tendrá algo que ver que utilice la misma contraseña para el correo que para la red social?
- Se están recibiendo cargos en su cuenta porque alguien está comprando cosas a su nombre. ¿Será que alguien ha utilizado la opción de recordar o cambiar la contraseña y esto se hace mediante el correo electrónico?
- Desesperado, Vic ve cómo poco a poco las cuentas de sus servicios a Internet van cambiando y no puede hacer nada.
Precuela
Menos mal que nuestra película, como corresponde a una buena peli de ciencia ficción, tiene viajes en el tiempo y Vic vuelve a la cafetería Cofising con la lección aprendida. Ahora ya sabe qué tiene:
- Confirma con el camarero de la cafetería que la red WiFi que detecta es la legítima del local.
- Cuando conecta y tiene acceso a Internet, accede directamente a la página de su red social favorita, ya que su certificado ya está permitido por su navegador por ser legítimo.
- Cuando entra en una web que le muestra el mensaje «conexión no verificada». Lee con cuidado el certificado que se muestra y, en caso de mínima sospecha, no accede a esa web.
- Al estar conectado a una WiFi pública, accede a consultar noticias en Internet y a mirar vídeos sin importancia. Intenta no entrar en páginas con información personal o bancaria. Eso lo deja para cuando está conectado a redes de confianza: la de casa o la del trabajo y siempre con cuidado.
- Cuando tiene dudas de la legitimidad de la WiFi. No se conecta. Activa los datos móviles o deja la consulta para más adelante.
Fuente: https://www.osi.es/es/
Fecha de consulta: 27 Febrero 2015