Sin tu pedirlo, de sorpresa, recibes una llamada de un
servicio técnico porque te alertan que tienes virus en tu ordenador, desconfía,
alerta, lo más probable es que están tratando de hacerte caer en una trampa cazabobos[1], una
artimaña para extorsionarte.
La OSI y la
Guardia Civil han informado que hay una nueva oleada de la estafa del falso
operador de Microsoft.
Me llaman para salvar mi ordenador
Recibes una
llamada de una persona que se hace pasar por un operador de Microsoft (a veces
con un terrible español) buscando alarmarte indicando que han detectado una
gran cantidad de problemas en tu ordenador. Se ofrece a auxiliarte para
solucionar el problema, para lo cual te explica que es necesario instalar un
programa que les permita ejecutar un control remoto para poder remover los
problemas y querrá que sigas una serie de instrucciones para que quede
instalado.
Es importante dejar claro que Microsoft no
realiza llamadas de teléfono que no hayas solicitado, para pedir información
personal o financiera, ni para proporcionar soporte técnico para reparar el
equipo.
Si pecaste de
ingenuo y le hiciste caso, una vez que el falso operador tiene el control de tu
ordenador, la trampa se ha cerrado y te encuentras en sus manos. Ya perdiste el
dominio sobre tu ordenador. Ahora el modus operandi varía según el tacto y la malicia
del secuestrador. Puede que comience solicitando una mínima cantidad, por
ejemplo, 5 euros, por un supuesto certificado de Microsoft para solucionar el
problema.
¿Qué puedes
hacer si de repente abres los ojos en este momento y vez que eres el ratón en
la ratonera?
Depende de que
tan novato sea el villano y que tanto tiempo haya tenido para asegurar la
trampa. Pero no olvides la Primera Ley de Murphy sobre la fatalidad de la
seguridad informática (o Primera Ley de Xevy) “Si te conectas a Internet no
sólo eres un objetivo, sino que ya eres el objetivo de alguien. La pericia del cracker[2]
que te ha puesto el ojo es directamente proporcional a la gravedad del problema
que tienes al perder la data que tienes en tu ordenador”. Así que lo mínimo que
intentará hacer el cibervillano será cambiar las claves de los usuarios de
Windows; pero podría aplicar artimañas más avanzadas como cifrar el disco duro
entero.
Intenta apagar
el ordenador con el interruptor. Aunque si el ciberdelincuente ha sido
efectivamente malicioso, lo más probable es que igualmente ya no tengas cómo
recuperar el control de la máquina. El secuestrador ya habrá cambiado todas las
formas de acceder a la máquina o a sus datos.
Si decides pagar,
puede ser, aunque poco probable, que el secuestrador te devuelva el control de
la máquina; no sin antes haber tratado de exprimir todo lo aprovechable del
contenido de tu ordenador. Así que habrá extraído no sólo tus documentos e
imágenes; sino que habrá hurgado en las profundidades para extraer tus
credenciales, contraseñas y cualquier rastro que pueda servirle para futuras
estafas y extorciones. Además, seguramente dejará implantados malwares[3]
que le permitan futuros robos de información o control sobre tu ordenador.
Pero también es
probable que opte por seguir el juego de hacer nuevas solicitudes de rescate
tratando de que te tragues la promesa de la futura liberación.
Esto no es nuevo
(este procedimiento se remonta por lo menos hasta el año 2012), sino que
cíclicamente este método de estafar regresa buscando una nueva generación de
incautos que se conviertan en las nuevas chequeras de estos delincuentes.
Algunos
usuarios, con sangre fría, reconociendo inmediatamente que les quieren tender
una trampa, osan seguirle la corriente al estafador, alargando lo más que
puedan la llamada (sin darles el control remoto) hasta que el ‘cazador’ se dé
cuenta que sólo lo están ‘mareando’, con la esperanza del usuario de lograr una
pequeña venganza haciéndole perder dinero, tiempo y generarle frustración.
Usuarios con
conocimientos avanzados poseen su ordenador preparado para que en el caso de
que les ocurra este intento de estafa poder recopilar la mayor información
posible (número de teléfono, de ip, cuenta de PayPal, etc.) de los delincuentes
para poder denunciarlos. Pero no lo intentes si no eres un experto.
Pero, ¿cómo dieron contigo?
Es probable que
tus datos hayan sido robados de tu ordenador tiempo antes, cuando navegaste en
alguna página comprometida con aplicaciones maliciosas, o porque tus datos
fueron obtenidos de otra persona atacada.
Me ha aparecido un aviso de alerta
Otra forma de
que comience el ciclo es que, de repente, en tu ordenador salte una ventana con
un mensaje de alerta o aparezca una pantalla azul (simulando la famosa pantalla
de error grave de Microsoft). En todo caso el mensaje indicará que el ordenador
posee graves problemas y un teléfono al que llamar para recibir asistencia
técnica. Probablemente tu máquina haya estado comprometida desde hacía un
tiempo, seguramente tras navegar por alguna web contaminada con malware. De
modo que ha comenzado a presentar lentitud y alguna falla más. De esa manera se
busca que el usuario se crea el mensaje de alerta como verdadero. Aunque
también se ha dado el caso de que el computador no está infectado, pero el
ciberdelincuente tiene la habilidad de envolver al usuario para hacérselo
creer, sobre todo si detecta que la potencial víctima demuestra ser poco
versado en el uso del ordenador.
Es importante recalcar que los mensajes de
alerta legítimos de Microsoft nunca indican números de teléfono. Lo mismo se
aplica para los mensajes de correo electrónico.
Aquí llegamos
al punto donde el usuario recibe las instrucciones para instalar el programa de
control remoto que le permitirá al supuesto técnico realizar el trabajo de
soporte. Si el timo está bien montado, es muy probable que el ordenador
aparente mejorar tras el control remoto del embaucador, lo que aumentará la
confianza de la víctima. Entonces, te incitarán que debe usarse una herramienta
más avanzada para hacer soluciones definitivas, pero hay que pagar para ello (y
aquí el monto suele ser importante) y por tanto solicita los datos de la
tarjeta de crédito. Con mayor o menor sutileza, según las habilidades y
paciencia del delincuente te convencerá de que el sistema se mantendrá
bloqueado hasta que se realice el pago y se ejecute el software.
No olvides que el departamento de soporte técnico
de Microsoft nunca te pedirá pagar para obtener soporte técnico en forma de
tarjetas regalo o Bitcoin.
Si pagas, puede
ser que el estafador que te tocó sea de los refinados y siga el show e instale
un software que aparentará eliminar algunos malwares en tu ordenador y te
enviará una falsa factura por sus servicios.
También los hay
tan descarados que te ofrecen un servicio de subscripción mensual para recibir
soporte técnico e irte estafando a plazos.
No olvides que
aunque recibas de nuevo el control del ordenador, no debes confiarte, pues bien
pudo haber dejado un caballo de Troya[4].
¿Es razonable pagar?
Las
estadísticas indican que mucha gente y empresas pagan debido a que los
ordenadores secuestrados poseen información importante que no se encuentra
respaldada, pero en la mayoría de los casos no les devuelven de buena fe el
control del ordenador. En sí, se considera que no se les debe pagar en ningún
caso, para que el timo no les resulte rentable.
Me han timado o lo han intentado ¿me callo?
Si te contactan,
pon la denuncia inmediatamente en las fuerzas de seguridad, indicando el número
de teléfono desde el que te llaman y todo detalle que puedas dar (incluyendo el
nombre de los programas usados). Algunas opciones, si te encuentras en España,
son:
Coloca la
denuncia en la Brigada de Investigación
Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía,
en cualquier comisaría o en https://denuncias.policia.es/OVD/.
Otra opción es el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil. En la
siguiente página se explica cómo se puede presentar la denuncia:
Muy
recomendable también es colocar la denuncia en el Centro de Respuesta a Incidentes de Seguridad de referencia para
los ciudadanos y entidades de derecho privado en España de la Instituto
Nacional de Ciberseguridad (INCIBE), a través de la cuenta de correo: incidencias@incibe-cert.es
Además, sin importar dónde estés ubicado, coloca la
denuncia en Microsoft en:
¿Qué hacer si mi ordenador fue comprometido?
Si tu ordenador
ya ha caído en manos de los estafadores, pero el disco duro no ha sido cifrado
ni el Windows saboteado, lo normal es que podrás recuperar el acceso a él. Aún
si las claves de inicio de sesión de los usuarios de Windows hayan sido
cambiadas, tienes maneras de anularlas y recuperar el control, mediante algunos
trucos y herramientas basadas en Linux.
Una vez con
acceso al sistema, lo primero que debes hacer es desinstalar cualquier programa
del que tengas conciencia haya instalado el estafador (anota sus nombres y
versiones para la denuncia). Si tus datos (las carpetas de Mis documentos, etc.)
fueron encriptados, no desinstales el programa usado para ello. Aunque es poco
probable, habría que descartar la posibilidad de que al villano no le haya dado
tiempo de deshacerse de la clave de desencriptado.
Revisa que el
firewall está activo y elimina o anula las llamadas de cualquier programa en la
ejecución del inicio del sistema operativo.
Cambia las
claves de todos los usuarios del sistema. Construye estas claves con una
estructura diferente a la que normalmente utilizas para definir tus
contraseñas. Estas claves son provisionales pues el sistema pudiera tener
instalo algún keylogger[5].
Si realizaste
algún pago comunícate inmediatamente con tu banco y busca bloquear los pagos.
Si posees otro
ordenador que no haya sido atacado, úsalo para cambiar todas las claves
bancarias y de correos electrónicos. También anula todos los certificados y
firmas digitales que tuvieses instalado en el ordenador atacado. Si no tienes
un ordenador al que tengas la confianza de no haber sido comprometido, no
realices este paso aún; déjalo para el final.
Si aún posees
acceso a tus archivos de datos (no han sido cifrados ni eliminados), respalda
inmediatamente todo lo más importante. Éste será sólo un respaldo de emergencia,
pues deberás considerar que pudiera incluir algún archivo comprometido.
Si tu ordenador
presenta continuos mensajes de error que dificultan su operatividad, intenta
restaurar el sistema.
Verifica todos
tus discos con tu antivirus. Comprueba que esté actualizado y funcionando
correctamente, pues a veces colocan malware especializado que anula los
antivirus, manteniéndolos en memoria (con sus típicos íconos de la barra de
herramientas) para que aparente que sigue funcionando; pero realmente sus
capacidades para detectar e interceptar el software malicioso han sido
anuladas. Si sospechas que algo no anda bien sencillamente instala la última
versión de tu antivirus antes de ejecutarlo. También es recomendable ejecutar
varios antivirus OnLine (algunos ejemplos son: Antivirus
Online Panda Security, ESET Online Scanner).
Luego ejecuta varios antimalwares (algunos ejemplos son Kaspersky Rescue
Disk; la combinación de Malwarebytes
(posee versión gratis y paga), Malwarebytes antirootkit
y Malwarebytes
AdwCleaner; Iobit Malware Fighter,
SpyBot
Search & Destroy gratis (posee versión paga), Superantispyware
gratis (posee versión paga); sin olvidar a los antikeyloggers SpyShelter
(prueba gratuita de 14 dias), Ghostpress)
Respalda tus
datos nuevamente ya de forma más completa.
Lo ideal es que
una vez respaldado, formatees el ordenador y reinstales todo desde cero.
Que las claves
de las cuentas de usuario que configures ahora no se parezcan en nada a las
temporales que creaste al principio de esta secuencia. No olvides que tu cuenta
de trabajo diario no debe tener permiso de administrador.
Si no pudiste
cambiar las contraseñas de tu banco y cuentas de correo antes, hazlo ahora, con
el ordenador recién formateado, claves de usuario nuevas y todos los programas
de protección ya instalados (antivirus, antispyware y antilogger), pero sin
haber copiado nada de los respaldos aún. Crea los nuevos certificados y firmas
digitales. Cambia también todas las demás claves que puedan ser sensibles
(redes sociales, páginas oficiales, nubes de almacenamiento, etc)
Permanece
pendiente. Aunque lo más común es que se hagan pasar por personal de Microsoft,
también pueden mutar a cualquier otra empresa que consideren. Los entendidos
aseguran que no pasará mucho tiempo que este tipo de estafa también tratará de
secuestrar dispositivos como los Smartphone.
Francisco Javier Castañé Sanz
13/05/2019
Fuentes:
OSI
Guardia
Civil
Microsoft.com
CepymeNews.com
Securelist.lat
#estafa, #timo, #secuestro,
#microsoft, #llamadafalsa, #ransomware
[1]
Trampa cazabobos es un término
técnico militar para indicar cualquier dispositivo camuflado con apariencia inofensiva
que busca dañar a quien inocentemente lo manipule o descuidadamente lo obvie.
[2]
Cracker es un término informático
para indicar a un hacker (entusiasta en el desarrollo de las tecnologías
informáticas, especialmente en temas de seguridad de sistemas) con fines
ilícitos.
[3]
Malware es un término informático que
indica cualquier tipo de programa cuyo objetivo sea malintencionado.
[4]
Caballo de Troya es un término
informático para designar un programa malicioso que está diseñado para tratar
de pasar desapercibido, escondiéndose en las profundidades de la estructura del
disco duro y/o aparentando ser cualquier cosa inocua. Su objetivo es dejar
pasar el tiempo, para después despertar ya sea para atacar y dañar el ordenador
o en cambio para intentar tomar control de él.
[5] Keylogger término informático para
definir un tipo de malware que registra las pulsaciones del teclado. Es común
su uso por los delincuentes informáticos, generalmente usado para capturar las
claves de usuario y cualquier otra información comprometedora.
No hay comentarios:
Publicar un comentario