Nuestros correos electrónicos están sufriendo últimamente un ataque constante de lo que se denomina SPAM (correo basura) y correos con finalidad maliciosa que pone en peligro nuestra información personal y la de nuestras empresas.
Las tácticas de los spammers y hackers ha cambiado, haciendo uso principalmente de la ingeniería social.
Su estrategia se basa en buscar relaciones entre nuestros clientes o personas conocidas para simular el envío de correos adjuntos o enlaces a páginas web falsas que imitan otras páginas en las que tenemos que introducir nuestro usuario y contraseña.
Anteriormente este tipo de ataques era menos elaborado y su porcentaje de éxito era bajo. Con estas nuevas tácticas su porcentaje ha subido y el resultado para los usuarios es el siguiente:
Robo de credenciales
El correo incluye una URL que imita una página a la que tenemos que acceder mediante usuario y contraseña. Nos confiamos e introducimos esos datos, y en ese mismo momento el hacker ya dispone de nuestras claves para entrar en bancos, compañías de teléfono o cualquier otro servicio.
Archivo con virus
El correo lleva adjunto un archivo que puede ser de muchos tipos: PDF, DOC, PPT, etc. y que supuestamente incluye un pedido o una factura sin pagar, o los datos de un envío logístico. Al abrir el archivo, si no estamos protegidos con un antivirus correctamente actualizado, nuestro ordenador queda infectado. Las consecuencias pueden ser muy variadas, desde espiar nuestros datos de navegación o introducción de Adware (anuncios), hasta la encriptación completa de nuestro disco duro y de todos los de los ordenadores que estén en la red (ransomware), pidiendo un rescate por desencriptarlo (siempre en cryptomonedas). También podrán hacerse con el control de nuestra cuenta de correo para atacar a nuestros contactos enviando mails como si fueran nuestros.
Envío de facturas falsas
En este caso recibimos un correo con una supuesta factura impagada que nos solicitan con urgencia. Esa factura imita el logo y el formato de facturas que hayan podido interceptar por la infección de un ordenador de la empresa emisora o receptora. El número de cuenta, por supuesto, no corresponde con la de nuestro proveedor y efectuaremos el pago a los hackers.
Sistemas para evitar ser víctimas de estos correos
Para evitar ser víctimas de estos ataques tendremos que ser mucho más cuidadosos a la hora de trabajar con el correo electrónico y usar más el sentido común.
1. Comprobar la dirección real del emisor del correo
Cuando recibamos un correo que incluya un adjunto sospechoso o que no esperamos es importante que comprobemos bien quien nos manda realmente el correo electrónico.
Podemos recibir un correo con un supuesto emisor, por ejemplo “Esernet <esernet@esernet.com> Este será el texto que ponen como remitente, pero tenemos que fijarnos bien en la dirección de correo que manda el correo realmente. A su lado podremos ver una dirección con formato <xxxx@xxxx.zzz). Si esa dirección no es igual a la que vemos en el texto del remitente estamos ante un correo falso.
Como vemos en el ejemplo, hay un intento de suplantación de identidad. Realmente quien manda el correo es el último que aparece server@xxxx.net, y no esernet@esernet.com. Es muy importante comprobar ese REMITENTE REAL.
2. Tener un cliente de correo actualizado y usar filtros de SPAM
Antes de llegar el correo al usuario, este tiene que pasar por los filtros de SPAM que se establecen para la cuenta de correo. Hay filtros de SPAM a nivel de servidor, en el que podemos activar el nivel de filtrado deseado. Si ponemos el filtro al máximo es muy posible que perdamos correos reales por adjuntar imágenes demasiado grandes o textos sospechosos. Este primer filtrado ya evita la entrada de gran cantidad de correo basura. El segundo filtro se establece a nivel del cliente de correo. Los clientes de correo más habituales incorporan filtros de SPAM para bloquear este tipo de mensajes. Es conveniente tener activados estos filtros. En algunos casos van aprendiendo para entender qué correos son buenos y cuáles no.
Un cliente de correo no actualizado o sin filtros de SPAM deja en manos del usuario y el antivirus todo el trabajo.
3. Antivirus actualizado y activo
Si el correo malicioso ha pasado los filtros de SPAM del servidor y el del usuario, tenemos un tercer defensor, el antivirus.
Los antivirus actuales están constantemente comprobando qué archivos abrimos y cómo actúan. Son capaces de saber si un archivo con una secuencia de ejecución de ransomware está intentando encriptar tu disco y avisarte, o detectar si el archivo adjunto contiene virus.
Es muy importante tener actualizado y configurado correctamente este antivirus, ya sea de pago o el Windows Defender que el sistema Windows 10 lleva de serie.
Los virus mutan constantemente para ocultar su código a los antivirus, por eso es muy importante que el antivirus se actualice casi diariamente.
4. Copias de seguridad
Nuestra información es muy valiosa y los hackers lo saben. Su modus operandi incluye la extorsión para poder recuperar nuestros archivos que previamente ellos encriptan. JAMÁS PAGUES LA EXTORSIÓN.
Es muy importante que hagamos copia de seguridad de nuestros archivos más importantes.
Existen discos duros externos con software para realizar copias de seguridad. Estos discos pueden ser encriptados igualmente si durante el ataque del virus están conectados a nuestro ordenador. Por eso es importante conectarlos solo cuando vayamos a hacer copias.
Otra solución pueden ser los discos en la nube, en los que pagaremos por el espacio que necesitemos para realizar la copia.
Consideraciones para empresas
Habitualmente las empresas disponen de redes locales o remotas para la conexión de todos sus trabajadores.
El uso de estas redes puede propagar cualquier virus que infecte el ordenador de alguno de los usuarios de la red.
Ante esto es muy importante disponer de un sistema de copia de seguridad completo y externo a la red de nuestros ordenadores, o también podríamos sufrir los problemas del programa malicioso.
Un sistema NAS externo puede ser una buena solución, e incluso los sistemas de cinta LTO siguen siendo una solución muy válida
Además, existen empresas especializadas en la realización de copias de seguridad remotas y encriptadas para poder recuperar nuestros datos en el menor tiempo posible en caso de sufrir un secuestro de datos tipo ransomware.
Que hacer ya hemos sido infectados
Si después de todos estos filtros y medidas de seguridad hemos sido infectados por virus o ransomware lo mejor es ponerse en manos de profesionales para realizar la restauración y limpieza de nuestros ordenadores.
El coste de esto va a ser elevado, pero en algunos casos es más perjudicial perder toda la información de años de trabajo.
Si has decidido intentar recuperarlo por tu cuenta, te dejamos algunos enlaces que pueden ayudarte:
Cysco Talos Intelligence
Página de Cysco con algunos desencriptadores y sistemas de antivirus o escáner de sistemas.
AVG
El popular antivirus ofrece herramientas gratuitas para el desencriptado de los archivos infectados por los ransomeware más habituales.
Kaspersky
Otro antivirus que ofrece herramientas para el desencriptado. Además, ofrece herramientas para evitar la infección.
Centro Criptológico Nacional – CN CERT
Un organismo gubernamental para mejorar la ciberseguridad de empresas y centros estatales. Ofrece herramientas para mejorar nuestra seguridad, formación y un centro de alertas tempranas.