Uno de los efectos secundarios de caer en una campaña de phishing que comparten todas las víctimas es el sentimiento de culpabilidad de haber caído, por su culpa, en dicho fraude.
Esto, de hecho, es un problema ya no solo para la víctima, sino también para el resto de la sociedad, ya que muchas de las víctimas, debido precisamente a ese sentimiento de culpa, no alertan a las autoridades. Creen que ha sido su error, y por tanto, al no dar aviso del fraude, protegen a los cibercriminales, que se amparan en ese mismo sentimiento para seguir perpetrando las campañas.
Sin embargo, nada más lejos de la realidad.
Cualquiera de nosotros puede ser víctima de un fraude. Cualquiera. Incluso los que nos dedicamos a la concienciación reputacional.
Sin ir más lejos, por mi página ya he contando en más de una ocasión cómo estuve apunto, o incluso algún miembro cercano de mi familia ha caído, en algún timo semejante.
Dejaré al final de esta pieza varios ejemplos, pero hoy quería centrarme en un caso que conocíamos a finales de la semana pasada: El del Institut Municipal d’Informàtica de Barcelona.
Phishing al Institut Municial d’Informàtica de Barcelona
Esta organización, que forma parte del Ayuntamiento de la capital catalana, contrató en su día a la empresa Sistemas Informáticos Abiertos (SIA) una serie de labores relacionadas, paradójicamente, con la ciberseguridad del IMI, y durante meses estuvo, como cabría esperar, realizando los pagos oportunos por el servicio ofrecido.
Sin embargo, el pasado 2 de febrero el departamento administrativo de SAI envió un correo al IMI informándole que desde finales de noviembre no habían vuelto a recibir ningún pago por parte de la organización.
Al revisar el problema, se dieron cuenta de que, en efecto, llevaban meses siendo víctimas de una campaña de phishing.
Una campaña dirigida que había conseguido usurpar la identidad de SIA frente al IMI, haciéndoles llegar a la organización provincial un número de cuenta nuevo al que desde entonces le habían estado haciendo los ingresos.
Por supuesto, un número de cuenta bajo el control de los cibercirminales.
Este ataque no es otro más que el ya conocido fraude del CEO, en el que alguien de autoridad (normalmente el presidente o el jefe de departamento, pero en este caso el departamento administrativo del proveedor del servicio) utiliza el mismo canal que habitualmente utilizaría para comunicarse y pedir al equipo encargado de realizar pagos el que hagan un ingreso (o varios, como fue en este caso) a una cuenta distinta.
En el artículo publicado en La Vanguardia (ES) no hablan del contenido y desde dónde se envió ese correo, pero me aventuraría a decir que podría haber sido llevado a cabo de dos formas distintas:
- O bien consiguieron entrar en los sistemas de SAI, y usurpar la identidad de los correos: Cosa que a su vez requiere o que la empresa proveedora no tuviera correctamente definidos el SPF, DMARC y DKIM del dominio (algo que, por cierto, he revisado ahora mismo y confirmo que tampoco lo tienen) y fuera posible realizar la usurpación desde «fuera», o porque han tenido acceso directo al servidor de correo (menos probable, pero bueno…).
- O bien ni siquiera fue necesario, y utilizaron un correo semejante, quizás utilizando homografía para ello, que no llamó la atención del departamento administrativo del Ayuntamiento. Lo más probable, ya que requiere menores conocimientos técnicos, y que se basa únicamente en explotar las debilidades humanas.
Sea como fuere, para realizar este tipo de ataque es necesario conocer de antemano toda la información de la víctima y del proveedor. Cosa, que, en este caso, parece obvia, ya que en ningún momento hasta que SIA dio la voz de alarma, el Ayuntamiento de Barcelona estuvo al tanto del ataque.
Un problema cuyo coste, por cierto, saldrá nuevamente de los ciudadanos de Barcelona, habida cuenta de que el IMI ha tenido que pagar 349.497,88€ extra a favor de SIA en concepto de todos esos meses que el dinero no había llegado a su cuenta.
Quiero pensar que el trabajo de SIA no fuera precisamente de concienciación en materia de ciberseguridad a los funcionarios del IMI. Porque de ser así, muy buen trabajo no es que hayan hecho precisamente…
Servicio de asesoramiento a víctimas de fraude
Desde CyberBrainers ofrecemos un servicio de asesoramiento a víctimas de cualquier tipo de fraude cibernético.
Gracias a él, revisamos cada caso por separado, te explicamos qué opciones tienes, y te ofrecemos soporte en aquello que necesites (ayuda legal, asesoramiento técnico para evitar problemas futuros…).
Además, si hay posibilidad de recuperar el dinero robado, te ayudamos con la recuperación.
Si has sido víctima de alguno de estos timos, ponte en contacto con nosotros y revisaremos el caso.
Otros timos que deberías conocer
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Como recuperar el dinero robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funcionan los fraudes de descargar libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es el fundador de CyberBrainers, consultora especializada en blindaje reputacional, construcción de autoridad digital y asesoramiento a víctimas de fraude online, de EliminamosContenido, el servicio de desindexación y eliminación de contenido dañino en Internet, y del sello editorial Ediciones PY.
Speaker internacional, Experto en ayudar a referentes digitales, influencers y marcas personales a diversificar su presencia y construir reputaciones inquebrantables. Especialista en transformar la presencia online de referentes a través de estrategias de diversificación digital, posicionamiento SEO, apariciones en medios y blindaje preventivo ante crisis reputacionales.
Reconocido divulgador en Seguridad TIC, ganador de varios premios ESET, Bitácoras y Red Seguridad a la divulgación en Ciberseguridad, colaborador habitual en varios programas de televisión, radio y periódicos, y representante del emprendimiento español en Silicon Valley.
Autor de seis libros y host del videopodcast enCLAVE DIGITAL.
Actualmente asesora a grandes patrimonios y a víctimas de fraudes online, demostrando con hechos su filosofía de diversificación y gestión de riesgo.
