Las técnicas de phishing han ido evolucionando a medida que los usuarios han adquirido mayor concienciación en torno a su ciberseguridad. Pocas son ya las personas que no han oído hablar de los ataques del CEO, de las cartas nigerianas o simplemente de las ofertas de productos demasiado atractivas para ser reales.
Sin embargo, y pese a toda esa información, aún persisten casos en los que los ciberdelincuentes, haciendo uso de diferentes técnicas de ingeniería social, son capaces de hacer caer a los usuarios, una vez más, en sus bien preparadas artimañas.
Nos encontramos ante un continuo proceso en el que la imaginación de unos se contrapone a la ingenuidad de los otros.
Anti-spam y anti-phishing
En un intento por atenuar el problema, múltiples soluciones comerciales de servicios anti-spam y anti-phishing han surgido como ayuda a los desprotegidos usuarios. El objetivo no es otro que evitar que esas trampas, en formas de correos electrónicos, llamadas telefónicas o simplemente SMS, lleguen a los destinatarios finales.
Sin embargo, los ciberdelincuentes parten con la ventaja de “conocer el enunciado del problema”. Esto es, saben que para conseguir sus objetivos deben superar obstáculos definidos y claramente identificados. Por esa razón, sus planes idean los ataques en dos fases bien diferenciadas. Fases que una vez superadas les permiten completar el engaño.
La primera fase consiste en superar a estas herramientas y eludir los filtros a los que someten a sus mensajes. La segunda, y más conocida por el gran público, aspira a conseguir, una vez superada la primera, que el usuario lleve a cabo las acciones previstas sin ser consciente de su error.
Superar a las herramientas de seguridad y llegar a la víctima
Actualmente, superar la primera de las etapas, la de las herramientas anti-phishing, resulta una tarea realmente ardua. Existen numerosas aplicaciones que utilizan técnicas avanzadas de IA (tan de moda en las últimas fechas con la publicidad alcanzada por Chat GPT-3) y que permiten identificar la presencia de amenazas a la seguridad en casi cualquier mensaje que recibimos.
Sin embargo, debemos saber que no son infalibles. En ocasiones, la difusa línea entre lo lícito y lo ilícito hace que correos que pueden ser potencialmente peligrosos lleguen a sus destinatarios, convirtiendo a estos últimos en los postreros eslabones de la cadena de ciberseguridad.
En esa frontera, entre lo que se considera una amenaza y un mensaje lícito, se encuentran algunas técnicas que históricamente han sido empleadas por los ciberdelincuentes y que están adquiriendo un nuevo protagonismo. Se trata de técnicas que disfrazan el mensaje de modo que los ojos ven una cosa, pero el contenido muestra otra.
Homografía Se conoce como caracteres ASCII al conjunto de caracteres que en su versión extendida recoge hasta 256 caracteres y que se utilizan comúnmente para codificar texto en computadoras, teléfonos, impresoras, etc. Sin ir más lejos, este artículo es un buen ejemplo de su uso.
Sin embargo, hay ocasiones en las que ese conjunto de caracteres resulta ser insuficiente. Muchos idiomas contienen símbolos que no están recogidos en el juego extendido de 256 caracteres ASCII. Por lo tanto, hay variantes ASCII que deben abarcar símbolos y caracteres regionales. Y precisamente esos caracteres son los que ofrecen algunas posibilidades a los ciberdelincuentes.
No resulta difícil utilizar algunos caracteres regionales haciéndolos pasar por otro tipo de letra. Es lo que se conoce como ataques de homografía, esto es, caracteres que presentan similitudes visuales con aquellos que esperamos.
La sustitución de “i” mayúscula por una “ele” minúscula, o secuencias como “rn” en lugar de “m” son casos sencillos de uso. Pero no se quedan ahí, la existencia de caracteres propios de otros alfabetos es quizás la forma más extendida de explotación. Por ejemplo, palabras como “tωitter.com” o caracteres cirílicos como З, Ч y б que se asemejarían a los números 3, 4 y 6 pueden pasar inadvertidos y dar lugar a importantes errores de interpretación.
Caracteres invisibles
El uso de caracteres invisibles es otra técnica muy habitual en el mundo digital. Se trata de caracteres que no son necesariamente maliciosos, pero pueden generar equívocos que acaben en errores y daños imprevistos.
Cuando se construye un mensaje, es habitual que herramientas como Microsoft Office presenten sus textos siguiendo las características definidas en su formato. Así, aprovechando esa propiedad, hay ataques que emplean caracteres que no son visibles, pero que sin embargo están presentes en el texto. Se trata habitualmente de caracteres de control en formato Unicode que son fácilmente insertables en un texto. Con ello consiguen que su interpretación cambie respecto a lo visualmente esperado.
Uno de los caracteres más utilizado suele ser U+2060; un carácter no visual y que puede insertarse en un correo editado con Outlook simplemente introduciendo el número “2060” y a continuación presionando las teclas “Alt” y “X”. El resultado final es un texto, en apariencia normal, pero que, sin embargo, tiene caracteres adicionales que pueden permitir a un ciberdelincuente redirigir a su víctima a una dirección de Internet no esperada.
Las técnicas de phishing han ido evolucionando a medida que los usuarios han adquirido mayor concienciación en torno a su ciberseguridad
Caracteres de fuente cero
El uso del tamaño de los caracteres suele ser otra de las técnicas que pueden inducir a errores a los usuarios finales. Es lo que se conoce como caracteres de fuente cero, una posibilidad que ofrecen los contenidos HTML y que puede verse en un ejemplo sencillo si tratamos de componer un mensaje donde uno de los caracteres de una palabra tiene un tamaño de fue.nte “0”. Nota: Por si no se ha dado cuenta, la palabra “fuente” tiene un “.” de tamaño “1” entre la “e” y la “n”.
Ataque de “derecha a izquierda” (RLO)
Otra de las técnicas utilizadas por los ciberdelincuentes consiste en explotar el orden de la escritura en determinadas regiones. El uso de caracteres de control Unicode permiten mostrar un texto de derecha a izquierda tal y como se presentaría en idiomas como el hebreo o el árabe. Así, un simple, “ejemplo” utilizando el código U+202e precediendo a la palabra nos mostrará “olpmeje”. Algo inocuo en principio.
Ahora bien, si ese ejemplo hace referencia a un fichero malware “xcod.exe” y que se muestra a los ojos del lector como “exe.docx”, la cosa cambia. Tanto es así, que recientemente se han mostrado variantes de esta técnica que permiten generar, por ejemplo, problemas de estabilidad en los navegadores y terminales simplemente modificando la forma de presentar textos.
Otra variante de este tipo de ataque está en la propia ofuscación del código malicioso frente a los ojos del usuario y que abre también nuevas posibilidades a los ciberdelincuentes.
Copy-Paste
Existen incluso técnicas que haciendo uso del procedimiento de “copiar y pegar” puede llegar a dar lugar a problemas no esperados. De facto, siempre se ha dicho que antes de acceder a una dirección de Internet que proviene de un origen desconocido, es preferible introducir a mano la dirección en el navegador para evitar que el clic en el enlace nos dirija a donde no queremos ir.
Pues bien, incluso en esas circunstancias, lo que muchos usuarios hacen es copiar (CTRL-C) la dirección visual, en apariencia correcta, y pegarla (CTRL-V) en una pestaña del navegador. La técnica resultaría correcta si no fuera porque eso que nuestros ojos nos dicen que es lo que estamos copiando, no es exactamente lo que estamos pegando.
Conclusión
Como se puede observar, las técnicas de phishing a menudo son el resultado de explotar utilidades y servicios que están pensados para otros fines. Siempre aprovechando la debilidad del usuario final, sea esta en forma de ingeniería social o simplemente por ocultación y mimetización de la información del ataque.
De este modo, utilidades como los caracteres de control, la flexibilidad de la presentación de textos o incluso un simple CTRL-C, CTRL-V (entre muchas otras no mencionadas) pueden dar lugar a situaciones inesperadas y potencialmente peligrosas cuando un ataque de phishing consigue llegar a su destinatario. Y es que, si se piensa detenidamente, a menudo se ha dicho que “a los ciberdelincuentes no siempre se les ve venir”.