Volver

Respuesta al audio del hackeo a través de Zoom

A estas alturas es muy probable que hayas recibido un mensaje de audio sobre Zoom en alguna de las apps de mensajería que usas.

En la grabación se escucha a una mujer relatar su experiencia con un fraude bancario supuestamente sufrido después de haber instalado la app de Zoom en el ordenador.

Una vez instalada, los atacantes obtuvieron sus credenciales para realizar transferencias y solicitar préstamos. Se habla de una cifra de 19.000€ robados. El audio termina con un llamamiento a desinstalar Zoom, y a pedir que compartamos el mensaje porque le ha pasado a una «compañera nuestra”.

Antes que nada, tengo que aclarar que no dudo que a esta familia le haya ocurrido lo que cuentan. No obstante, hay cosas que no cuadran.

En mi opinión, si ha sido cierto, la versión que le ha dado la Guardia Civil ha sido muy simple, han tirado de lo primero que han tenido a mano sin realizar un análisis en profundidad. Imagino que también estarán saturados y no habrá tiempo para eso.

Todos los bancos tienen un método de autenticación de cualquier operación que exige un tercer factor, a parte del usuario y la contraseña, como por ejemplo un código que se envía por SMS en cada operación o una notificación de la propia app del banco que tendremos que aceptar. Este código es de un sólo uso y no hay forma de conseguirlo hackeando un PC, por lo que todo indica que le han hackeado el móvil.

Es posible que hayan sufrido 2 ataques, primero el ordenador y, tras conocer el número de su móvil, hayan hackeado el teléfono con un tipo de amenaza que se llama secuestro de SIM. Para que este ataque tenga éxito, también debe fallar el protocolo de validación que use el operador para comprobar que la persona que solicita el clonado o cambio de SIM sea el titular de la línea.

Podría incluso ser cierto que el ataque inicial haya sido a través de Zoom (que no Google Zoom, Google no tiene nada que ver con ellos), pero hay muchas más posibilidades de que hayan comprometido sus equipos a través del correo electrónico, que es por donde tienen éxito los ataques en el 90% de las ocasiones.

Es habitual que recibamos un correo aparentemente lícito diciendo venir de alguien en quién confiamos, por ej. nuestro banco, y con un contenido que no levante nuestras sospechas. En él pueden invitarnos a usar algún enlace o ejecutar un fichero que es el que compromete nuestro equipo. Podemos, por ejemplo, pulsar un enlace que nos lleve a una web idéntica a la del banco (aunque realmente hay detalles que deberían hacernos sospechar) y que allí introduzcamos nuestras credenciales. Esto se llama phishing. No se las estaríamos dando al banco, las están recibiendo los atacantes. A partir de aquí todo se puede producir un efecto dominó si no estamos atentos.

Es por todos estos motivos por lo que siempre insisto en la necesidad de tomar una serie de precauciones fundamentales que son:

1.- ANTIVIRUS

Instalar una buena protección antivirus en los ordenadores (no vale el primer antivirus gratuito que nos recomiende el hijo de un amigo al que le gusta mucho la informática).

2.- PROTECCIÓN DEL CORREO

Instalar una buena protección del correo electrónico, mediante un servicio en la nube que los filtre antes de que lleguen a nuestros dispositivos, dejando pasar sólo los que no supongan una amenaza.

3.- ACTUALIZACIÓN DE LOS SISTEMAS OPERATIVOS

Mantener siempre actualizados el sistema operativo de nuestros dispositivos y el software que tengamos instalado, con las últimas versiones y los últimos parches de seguridad que se publiquen. Esto se puede automatizar, pero hay que aceptarlo cuando el sistema nos lo notifique, y no posponerlo como suele ser habitual.

4.- SOFTWARE «DE CONFIANZA»

Instalar software sólo de fuentes de confianza y no instalar nada que no necesitemos. No cumplir este punto nos lleva a abrir más puertas por las que se puede entrar.

5.- SOFTWARE ORIGINAL

Por supuesto, que todo el software que se instale sea original y no pirata. Si necesitamos Office, debemos pagarlo, al igual que el antivirus. Y si es para escribir de vez en cuando, se instala Libre Office o usamos Google Docs y nos hará el apaño. Pero nunca instalar un Office pirata. Pagar por el software nos garantiza disponer de las actualizaciones que solucionarán los fallos de seguridad que se detecten. Zoom los tiene como los tienen todos. Lo único que podemos exigirles es que los solucionen de forma ágil una vez se detecten y, evidentemente, sólo podremos hacerlo si pagamos por su servicio.

6.- SOFTWARE SIEMPRE CON SOPORTE ACTIVO

No usar nunca software obsoleto que esté fuera de soporte, ya que este no cuenta con las actualizaciones de seguridad que he comentado. Cada día que seguimos usando un programa que ya no está bajo el soporte del fabricante, más posibilidades tenemos de que comprometan nuestro equipo. Por poneros un ejemplo, Windows XP, 7 y 8 son vulnerables y aún son usados en muchas casas y ¡¡¡empresas!!!

7.- RECONOCIMIENTO BIOMÉTRICO

Habilitar el reconocimiento biométrico de nuestros dispositivos (huella o cara) para acceder a ellos y a las aplicaciones sensibles, como puede ser la del banco.

8.- NO CONECTARSE A WIFIs PÚBLICAS

No conectarse nunca a WiFis públicas. Es muy fácil suplantar una red inalámbrica y que, sin saberlo, estemos navegando por Internet a través de un punto de acceso que esté analizando nuestras comunicaciones y accediendo a nuestros datos sensibles.

9.- NO USAR LA MISMA CONTRASEÑA EN DISTINTOS SERVICIOS

No usar la misma contraseña en distintos servicios y que éstas sean complejas. Puede parecer difícil, pero no lo es. Siempre recomiendo usar un gestor de contraseñas, como Dashlane o LastPass, con el que sólo tendremos que recordar la clave para acceder a él. Allí se almacenarán las distintas credenciales de cada servicio. Este software se encargará de introducir automáticamente los datos que correspondan, sin que nosotros tengamos que memorizar decenas de contraseñas.

10.- ASESORAMIENTO PROFESIONAL

Por último, contar siempre con el asesoramiento de un profesional o empresa cuyos conocimientos nos ayuden a tomar las decisiones correctas.

El resumen de todo esto es que apliquemos el mismo sentido común que tenemos en nuestra vida cotidiana a nuestra vida digital.

Respecto a la denuncia, entiendo que a quien no puede denunciar es al banco porque será parte del acuerdo por el que les devuelven el dinero, pero el hecho en sí debe ser denunciado. A los cuerpos de seguridad los deben dotar con los medios necesarios para investigar este tipo de fraudes, cada vez más comunes. Sólo lo conseguiremos si las denuncias llegan a las autoridades y todos tomamos consciencia del peligro.

No me quiero despedir sin dar mi opinión sobre el revuelo respecto Zoom. Cuando se detecta un fallo de seguridad, lo lógico y habitual es avisar previamente al implicado para que lo pueda corregir antes de publicarlo. El hecho de que no se haya hecho así me da que pensar sobre los intereses que hay detrás para dejarles en mal lugar. Por otra parte, la reacción de Zoom ha sido de transparencia y eficacia. Han resuelto inmediatamente los errores detectados y, para los que no se han podido resolver por cuestión de tiempo, han ofrecido una fecha en la que se comprometen a solventarlos. Todo acompañado de una guía con las instrucciones para usar su solución de forma segura. No se puede pedir más a un fabricante.

Zoom se ha convertido en objetivo por su éxito. Ha demostrado ser la herramienta más simple y eficiente para permanecer en comunicación durante este confinamiento. Si algo tengo claro es que es junto a Microsoft, por Teams, es la empresa del sector que saldrá mejor parada de la actual situación.

Espero que os sirva de ayuda.