(+34) 910 42 42 93 [email protected]

Uno de los efectos secundarios de caer en una campaña de phishing que comparten todas las víctimas es el sentimiento de culpabilidad de haber caído, por su culpa, en dicho fraude.

Esto, de hecho, es un problema ya no solo para la víctima, sino también para el resto de la sociedad, ya que muchas de las víctimas, debido precisamente a ese sentimiento de culpa, no alertan a las autoridades. Creen que ha sido su error, y por tanto, al no dar aviso del fraude, protegen a los cibercriminales, que se amparan en ese mismo sentimiento para seguir perpetrando las campañas.

Sin embargo, nada más lejos de la realidad.

Cualquiera de nosotros puede ser víctima de un fraude. Cualquiera. Incluso los que nos dedicamos a la concienciación reputacional.

Sin ir más lejos, por mi página ya he contando en más de una ocasión cómo estuve apunto, o incluso algún miembro cercano de mi familia ha caído, en algún timo semejante.

Dejaré al final de esta pieza varios ejemplos, pero hoy quería centrarme en un caso que conocíamos a finales de la semana pasada: El del Institut Municipal d’Informàtica de Barcelona.

Phishing al Institut Municial d’Informàtica de Barcelona

Esta organización, que forma parte del Ayuntamiento de la capital catalana, contrató en su día a la empresa Sistemas Informáticos Abiertos (SIA) una serie de labores relacionadas, paradójicamente, con la ciberseguridad del IMI, y durante meses estuvo, como cabría esperar, realizando los pagos oportunos por el servicio ofrecido.

Sin embargo, el pasado 2 de febrero el departamento administrativo de SAI envió un correo al IMI informándole que desde finales de noviembre no habían vuelto a recibir ningún pago por parte de la organización.

Al revisar el problema, se dieron cuenta de que, en efecto, llevaban meses siendo víctimas de una campaña de phishing.

Una campaña dirigida que había conseguido usurpar la identidad de SIA frente al IMI, haciéndoles llegar a la organización provincial un número de cuenta nuevo al que desde entonces le habían estado haciendo los ingresos.

Por supuesto, un número de cuenta bajo el control de los cibercirminales.

Este ataque no es otro más que el ya conocido fraude del CEO, en el que alguien de autoridad (normalmente el presidente o el jefe de departamento, pero en este caso el departamento administrativo del proveedor del servicio) utiliza el mismo canal que habitualmente utilizaría para comunicarse y pedir al equipo encargado de realizar pagos el que hagan un ingreso (o varios, como fue en este caso) a una cuenta distinta.

En el artículo publicado en La Vanguardia (ES) no hablan del contenido y desde dónde se envió ese correo, pero me aventuraría a decir que podría haber sido llevado a cabo de dos formas distintas:

  • O bien consiguieron entrar en los sistemas de SAI, y usurpar la identidad de los correos: Cosa que a su vez requiere o que la empresa proveedora no tuviera correctamente definidos el SPF, DMARC y DKIM del dominio (algo que, por cierto, he revisado ahora mismo y confirmo que tampoco lo tienen) y fuera posible realizar la usurpación desde «fuera», o porque han tenido acceso directo al servidor de correo (menos probable, pero bueno…).
  • O bien ni siquiera fue necesario, y utilizaron un correo semejante, quizás utilizando homografía para ello, que no llamó la atención del departamento administrativo del Ayuntamiento. Lo más probable, ya que requiere menores conocimientos técnicos, y que se basa únicamente en explotar las debilidades humanas.

Sea como fuere, para realizar este tipo de ataque es necesario conocer de antemano toda la información de la víctima y del proveedor. Cosa, que, en este caso, parece obvia, ya que en ningún momento hasta que SIA dio la voz de alarma, el Ayuntamiento de Barcelona estuvo al tanto del ataque.

Un problema cuyo coste, por cierto, saldrá nuevamente de los ciudadanos de Barcelona, habida cuenta de que el IMI ha tenido que pagar 349.497,88€ extra a favor de SIA en concepto de todos esos meses que el dinero no había llegado a su cuenta.

Quiero pensar que el trabajo de SIA no fuera precisamente de concienciación en materia de ciberseguridad a los funcionarios del IMI. Porque de ser así, muy buen trabajo no es que hayan hecho precisamente…

Otros timos que deberías conocer:

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂