Ojo: así de fácil los ‘hackers’ acceden a las contraseñas y logran suplantar entidades y personas

Ciberdelincuentes han logrado identificar las credenciales de sus víctimas con una técnica de spoofing mejorada, un método al que ahora han añadido la capacidad de captar estas claves por las pulsaciones de las teclas del teclado.

El spoofing, también conocido como suplantación de identidad, es un ciberataque que se produce cuando los agentes maliciosos se hacen pasar por remitentes de confianza para que los usuarios les proporcionen información confidencial.

Estas campañas pueden darse a través de sitios web, correos electrónicos remitidos por contactos supuestamente legítimos, servidores y direcciones IP, aunque las llamadas telefónicas también son habituales en estos casos.

Estas llamadas telefónicas suplantan el número de teléfono real de las compañías que se ponen en contacto con los usuarios, que pueden ser desde entidades bancarias hasta empresas energéticas o instituciones públicas, para que las víctimas crean que se están comunicando con el personal de estas organizaciones.

Para evitar escuchas indeseadas, para cualquier consulta o trámite bancario por vía telefónica, las entidades bancarias instan a sus clientes a introducir sus claves bancarias a través del teclado en lugar de indicarlas verbalmente.

Si bien este método proporciona mayor seguridad para acceder a datos confidenciales, no logra ser completamente efectivo, ya que ciberdelincuentes han encontrado la manera de acceder a estas pulsaciones para conocer los datos y las credenciales de sus víctimas.

Así lo ha comunicado recientemente la Policía Nacional, que ha alertado de la puesta en marcha de una nueva modalidad de estafa en la que los ciberdelincuentes combinan, por un lado, el spoofing –accediendo a los datos personales de los usuarios– y, por otro, hacen uso de ‘keyloggers’.

Los keyloggers o registradores de pulsaciones son un tipo de malware que monitoriza cada tecla pulsada, de modo que es capaz de extraer información confidencial conforme a lo que la víctima introduzca a través del teclado.

Una técnica más avanzada es la denominada Acoustic Keyboard Eavesdropping Keylogging Attack, que viene a traducirse como ‘ataque de espionaje a través del teclado acústico’. En este caso, los ciberdelincuentes hacen uso de un programa que funciona con un algoritmo que reconoce el sonido que corresponde la pulsación de cada tecla.

Cierto es que existen diferentes tipos de teclados y que cada uno de ellos suena de manera distinta, pero los atacantes se encargan de que el algoritmo que utilizan puede descubrir las contraseñas a partir de distintas combinaciones de teclas.

En este sentido, conviene recordar que hace unos meses la Oficina de Seguridad del Internauta (OSI) alertó de una campaña maliciosa consistente en el envío de ‘emails’ que invitaban a las víctimas a confirmar el pago de facturas fraudulentas suplantando la identidad de entidades como Banco Santander o BBVA.

Concretamente, estos correos electrónicos contenían documentos comprimidos para su descarga, contenedores a su vez de malware de tipo troyano, que al descomprimirse permitía a los estafadores acceder a la información personal de estas personas.

Ciberdelincuentes han logrado identificar las credenciales de sus víctimas con una técnica de ‘spoofing’ mejorada, un método al que ahora han añadido la capacidad de captar estas claves por las pulsaciones de las teclas del teclado.

‘Spoofing’ y ‘keyloggers’

El spoofing, también conocido como suplantación de identidad, es un ciberataque que se produce cuando los agentes maliciosos se hacen pasar por remitentes de confianza para que los usuarios les proporcionen información confidencial.

Estas campañas pueden darse a través de sitios web, correos electrónicos remitidos por contactos supuestamente legítimos, servidores y direcciones IP, aunque las llamadas telefónicas también son habituales en estos casos.

Estas llamadas telefónicas suplantan el número de teléfono real de las compañías que se ponen en contacto con los usuarios –que pueden ser desde entidades bancarias hasta empresas energéticas o instituciones públicas– para que las víctimas crean que se están comunicando con el personal de estas organizaciones.

Para evitar escuchas indeseadas, para cualquier consulta o trámite bancario por vía telefónica, las entidades bancarias instan a sus clientes a introducir sus claves bancarias a través del teclado en lugar de indicarlas verbalmente.

Si bien este método proporciona mayor seguridad para acceder a datos confidenciales, no logra ser completamente efectivo, ya que ciberdelincuentes han encontrado la manera de acceder a estas pulsaciones para conocer los datos y las credenciales de sus víctimas.

La puesta en marcha de una nueva modalidad de estafa en la que los ciberdelincuentes combinan, por un lado, el spoofing –accediendo a los datos personales de los usuarios– y, por otro, hacen uso de keyloggers.

Los keyloggers o registradores de pulsaciones son un tipo de malware que monitoriza cada tecla pulsada, de modo que es capaz de extraer información confidencial conforme a lo que la víctima introduzca a través del teclado.

Una técnica más avanzada es la denominada Acoustic Keyboard Eavesdropping Keylogging Attack, que viene a traducirse como ‘ataque de espionaje a través del teclado acústico’. En este caso, los ciberdelincuentes hacen uso de un programa que funciona con un algoritmo que reconoce el sonido que corresponde la pulsación de cada tecla.

Cierto es que existen diferentes tipos de teclados y que cada uno de ellos suena de manera distinta, pero los atacantes se encargan de que el algoritmo que utilizan puede descubrir las contraseñas a partir de distintas combinaciones de teclas.

Concretamente, estos correos electrónicos contenían documentos comprimidos para su descarga, contenedores a su vez de malware de tipo troyano, que al descomprimirse permitía a los estafadores acceder a la información personal de estas personas.

*Con información de Europa Press.