Así de fácil es caer en un phishing: El caso del Institut Municipal d’Informàtica

Uno de los efectos secundarios de caer en una campaña de phishing que comparten todas las víctimas es el sentimiento de culpabilidad de haber caído, por su culpa, en dicho fraude.

Esto, de hecho, es un problema ya no solo para la víctima, sino también para el resto de la sociedad, ya que muchas de las víctimas, debido precisamente a ese sentimiento de culpa, no alertan a las autoridades. Creen que ha sido su error, y por tanto, al no dar aviso del fraude, protegen a los cibercriminales, que se amparan en ese mismo sentimiento para seguir perpetrando las campañas.

Sin embargo, nada más lejos de la realidad.

Cualquiera de nosotros puede ser víctima de un fraude. Cualquiera. Incluso los que nos dedicamos a la concienciación reputacional.

Sin ir más lejos, por mi página ya he contando en más de una ocasión cómo estuve apunto, o incluso algún miembro cercano de mi familia ha caído, en algún timo semejante.

Dejaré al final de esta pieza varios ejemplos, pero hoy quería centrarme en un caso que conocíamos a finales de la semana pasada: El del Institut Municipal d’Informàtica de Barcelona.

Phishing al Institut Municial d’Informàtica de Barcelona

Esta organización, que forma parte del Ayuntamiento de la capital catalana, contrató en su día a la empresa Sistemas Informáticos Abiertos (SIA) una serie de labores relacionadas, paradójicamente, con la ciberseguridad del IMI, y durante meses estuvo, como cabría esperar, realizando los pagos oportunos por el servicio ofrecido.

Sin embargo, el pasado 2 de febrero el departamento administrativo de SAI envió un correo al IMI informándole que desde finales de noviembre no habían vuelto a recibir ningún pago por parte de la organización.

Al revisar el problema, se dieron cuenta de que, en efecto, llevaban meses siendo víctimas de una campaña de phishing.

Una campaña dirigida que había conseguido usurpar la identidad de SIA frente al IMI, haciéndoles llegar a la organización provincial un número de cuenta nuevo al que desde entonces le habían estado haciendo los ingresos.

Por supuesto, un número de cuenta bajo el control de los cibercirminales.

Este ataque no es otro más que el ya conocido fraude del CEO, en el que alguien de autoridad (normalmente el presidente o el jefe de departamento, pero en este caso el departamento administrativo del proveedor del servicio) utiliza el mismo canal que habitualmente utilizaría para comunicarse y pedir al equipo encargado de realizar pagos el que hagan un ingreso (o varios, como fue en este caso) a una cuenta distinta.

En el artículo publicado en La Vanguardia (ES) no hablan del contenido y desde dónde se envió ese correo, pero me aventuraría a decir que podría haber sido llevado a cabo de dos formas distintas:

• O bien consiguieron entrar en los sistemas de SAI, y usurpar la identidad de los correos: Cosa que a su vez requiere o que la empresa proveedora no tuviera correctamente definidos el SPF, DMARC y DKIM del dominio (algo que, por cierto, he revisado ahora mismo y confirmo que tampoco lo tienen) y fuera posible realizar la usurpación desde «fuera», o porque han tenido acceso directo al servidor de correo (menos probable, pero bueno…).
• O bien ni siquiera fue necesario, y utilizaron un correo semejante, quizás utilizando homografía para ello, que no llamó la atención del departamento administrativo del Ayuntamiento. Lo más probable, ya que requiere menores conocimientos técnicos, y que se basa únicamente en explotar las debilidades humanas.

Sea como fuere, para realizar este tipo de ataque es necesario conocer de antemano toda la información de la víctima y del proveedor. Cosa, que, en este caso, parece obvia, ya que en ningún momento hasta que SIA dio la voz de alarma, el Ayuntamiento de Barcelona estuvo al tanto del ataque.

Un problema cuyo coste, por cierto, saldrá nuevamente de los ciudadanos de Barcelona, habida cuenta de que el IMI ha tenido que pagar 349.497,88€ extra a favor de SIA en concepto de todos esos meses que el dinero no había llegado a su cuenta.

Quiero pensar que el trabajo de SIA no fuera precisamente de concienciación en materia de ciberseguridad a los funcionarios del IMI. Porque de ser así, muy buen trabajo no es que hayan hecho precisamente…

Otros timos que deberías conocer

• 3 elementos que delatan a las campañas de phishing o fraude por email
• ¿Qué hacer en caso de haber sido víctima de un fraude?
• ¿Como recuperar el dinero robado?
• Cómo nos protegemos de los fraudes en Internet
• El día que ligué con una capitana del US Army (fraude de la novia rusa)
• Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
• Cómo estafaron a mi pareja con un producto vendido en Instagram
• Cómo funcionan los fraudes de descargar libros o películas GRATIS
• Cómo estafaron a mi madre con un producto vendido por Wallapop
• Cómo funciona la estafa del pellet
• Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
• Qué tipos de fraude por Wallapop existen
• Cómo me intentaron estafar con el alquiler de un piso
• Cómo funcionan los fraudes por Facebook
• Cómo funciona el timo de la compra de fotos o arte NFT
• Cómo me estafaron 400 euros con un producto vendido en Amazon
• Cómo funcionan los fraudes basados en iCloud
• Cómo funciona la estafa del chulo y las prostitutas
• Cómo funciona el fraude de BlaBlaCar
• Cómo funciona el fraude del viejo contacto
• Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
• Cómo funcionan los fraudes dirigidos a creadores de contenido
• El papel de los muleros en el cibercrimen
• Así de fácil es caer en una campaña de phishing

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.