Epidemia de hackeos. Verificación de autenticidad de webs e emails y algunos consejos.

2025-10-27

#seguridad #privacidad #hacking

Este es el guion aproximado que me gustaría seguir si hago una sesión de ciberseguridad en el pueblo para tratar el problema de hackeos que está habiendo en mi entorno. En apenas unos días, un conocido me comentaba sobre un hackeo de 25.000 euros en una empresa; al cabo de unas horas, otro conocido me confesaba que le habían robado ni más ni menos que 40.000 euros; y finalmente, otro me indicaba que le habían robado 20.000 euros.

En total, unos 85.000 euros robados en pocos días. Y lo peor: los afectados con los que he podido hablar parecían no ser demasiado conscientes de lo que había pasado y actuaban como si fuese un problema que el banco solucionaría devolviendo el dinero. No quiero decir que el banco no vaya a devolverlo, pero creo que deberían hacer una reflexión, asumir que han cometido algún error y que deben solucionarlo formándose mínimamente en ciberseguridad.

El problema fundamental que veo es que los usuarios acceden al banco a través de enlaces recibidos por email o SMS. El atacante suele enviar el típico mensaje que avisa al usuario de algún problema en su cuenta o en algún movimiento, para meterle miedo y prisa y que acceda al link que el ciberdelincuente le facilita para que compruebe si hay algo extraño en los últimos movimientos. A partir de entonces, el usuario se identifica con su usuario y contraseña en una web fraudulenta que suplanta al banco real, con lo que el ciberdelincuente obtiene esos datos y accede a un sinfín de datos personales, movimientos y saldos de la cuenta.

Hasta aquí ya vemos temeridad e ignorancia por parte del usuario, al acceder a través de un link y poner sus credenciales sin verificar si el link es auténtico.

VERIFICACIÓN DE AUTENTICIDAD DE WEBS

En este punto vale la pena pararse y mostrar a los asistentes qué es un dominio, un subdominio y una carpeta, para que entiendan que:

- bbva.es es un dominio.

- hipotecas.bbva.es es un subdominio del banco.

- hipotecas-bbva.es es un dominio completo distinto, que puede ser falso; es muy habitual usar dominios muy similares cuya parte final hace referencia al banco.

- bbva.es/clientes es una carpeta dentro de la web del banco, sin problema alguno.

Comentar también el uso de dominios homóglifos, por ejemplo falsear el dominio microsoft.com con el dominio rnicrosoft.com y el uso de letras de otros alfabetos:

Suplantan “microsoft.com” con “rnicrosoft.com” (homoglyph “rn”→“m”)

No siempre el primer resultado es el mejor, detectaron un sitio falso de KeePass

Veremos entonces la legitimidad del candadito, del certificado, algo que nadie suele comprobar. Explicaremos que existen varios tipos de certificados con diferente grado de fiabilidad. Están los certificados de pago como los emitidos por DigiCert, Google Trust Services y otros, y los gratuitos automatizados como es el caso de Let's Encrypt. Ninguna entidad financiera optará por un certificado gratuito, por lo que si la web tras el link tiene un certificado gratuito, lo mejor es no introducir credenciales: hay altas probabilidades de que sea un fraude. Para comprobar qué tipo de certificado tiene la web del link podemos usar servicios que nos den esa información sin necesidad de acceder, por ejemplo:

sslshopper.com

web-check.xyz Esta web nos da mucha info, entre ella datos detallados del certificado y su emisor e incluso captura de pantalla de la web.

Mi instancia de Web-Check

Clasificación del tipo de certificado ssl según su grado de confianza de menor a mayor:

- SSL de validación de dominio (DV): solo verifica que tienes control sobre el dominio y es automático. (Let's Encrypt).

- SSL de validación de organización (OV): verifica que la organización propietaria es real y legítima. (Digicert, Google Trust Services, GlobalSign, Sectigo, etc...) y precios de unos 100.-USD anuales.

- SSL de validación extendida (EV): exige comprobaciones exhaustivas y muestra la barra verde o el nombre de la empresa en el navegador. ( Digicert, Google Trust Services, GlobalSign, Sectigo, etc...) con precios que pueden llegar a 1.000.-USD anuales.

Aún así podemos encontrarnos con webs fraudulentas que disponen de un SSL amitido por una entidad de certificación reconocida, ejemplo:

bbva.ingreso-servicios.com , el dominio es ingreso-servicios.com y dispone de certificado Google Trust Services:

certificado reconocido para web falsa que inicialmente suplantaba a bbva y ahora a la comunidad de Madrid.

Como regla general jamás accederemos a una web a través de un link recibido por email ni por sms.

PRECAUCIONES CON EL TELÉFONO USADO COMO 2FA y uso de TOTP

Como casi todos nosotros tenemos nuestro número de teléfono móvil publicado en alguna red social, web, directorios de colegios profesionales y otros lugares, al ciberdelincuante le resulta muy fácil hacerse con ese número. A partir de ahí y disponiendo del resto de nuestros datos personales intentan hacerse con un duplicado de nuestra sim. El segundo factor de autenticación a través de sms es un método poco seguro pero sigue siendo ampliamente usado por las entidades financieras. Llegados a este punto el ciberdelincuente ya tiene acceso a nuestra cuenta, a hacer transacciones y en definitiva a robarnos. Recomiendo usar un número de teléfono sólo para el 2fa, usarlo en un móvil "tonto" y jamás descolgar ese teléfono si os llaman, nunca. Lo razonable sería que los bancos implementaran el 2fa a través de una aplicación generadora de códigos TOTP pero parece que es mucho pedirles, aquí os dejo una que funciona muy bien, os recomiendo hacer copia de la base de datos cada cierto tiempo o cada vez que añadís un nuevo servicio:

Aegis Authenticator

Usad segundo factor de autenticación a través de TOTP en todos los servicios que lo permitan: bancos, brokers, exchanges, servicios de email, nubes, etc... es la mejor forma de proteger nuestras cuentas.

VERIFICACIÓN DE AUTENTICIDAD DE EMAILS

Cuando recibamos un email debemos verificar quien es el remitente real, para ello:

- Comprobaremos el código fuente completo del email para detectar los campos "de" o "from" y comprobar si procede el dominio correcto.

- En el mismo código comprobaremos si el email ha pasado correctamente estos filtros SPF, DKIM y DMARC. SPF verifica que el servidor que envía el correo está autorizado por el dueño del dominio; DKIM añade una firma digital que garantiza que el mensaje no ha sido modificado y confirma la identidad del remitente; y DMARC indica a los servidores qué hacer con correos que no pasen las comprobaciones SPF o DKIM, reforzando la política de autenticación y reduciendo fraudes por suplantación. Como mínimo exigiremos que indique "spf=pass" y "dkim=pass", sobre el dmarc no pasa nada, es más para emails masivos.

Ejemplo de "mostrar original" en un email de gmail:

Verificación SPF y DKIM desde Gmail

En el caso de recibir un email de una fuente verificada que nos envíe una factura indicando que han cambiado el IBAN de pago, nos pondremos en contacto por otra vía con el proveedor para verificar si es cierto.

Si lo que recibimos es un sms que contenga un link, nunca accederemos a ese link, ningún servicio decente se dedica a enviar links por sms y si lo hacen no se merecen tenernos como clientes. En mi caso lo llevo al extremo y filtro cualquier sms que contenga un link, con la aplicación "bloqueador de spam", pero es complicada de configurar.

Y algunos links de actualidad que incluyen otros consejos:

Suplantación de identidad: cuando el engaño se disfraza de confianza

Si tu teléfono móvil comienza a hacer esto revisa corriendo tu cuenta bancaria

This work by SL1200 is licensed under CC BY-NC-SA 4.0

◄ BACK

🏠 Home