C1b3rWall Academy 2021/2022: Concienciación en ciberseguridad

 

La concenciación en ciberseguridad es algo que se trata habitualmente en los centros educativos, por parte de ponentes especializados.

A la hora de la verdad ¿cómo explicas los riesgos a un alumno, pillado dentro de un casino online en horas lectivas?

- Entrando en esos sitios arriesgas la seguridad y el dinero de tu familia.

- Pero si solo juego una vez, me gasto el bono de regalo, y gane o pierda me retiro...

- Si todos los jugadores hiciesen eso, los casinos se arruinarían.

- Si los demás no saben controlarse, es su problema...

Aquí tenemos un par de los considerados pecados capitales: la soberbia y la avaricia.

No pensemos que estos pecados, aparte de la soledad, la ignorancia y la propia estupidez, son patrimonio exclusivo de los adolescentes.

Todos conocemos casos cercanos, de mayores adscritos  a estúpidos servicios premium o jóvenes adultos con tarjetas bancarias clonadas o móviles troyanizados.

La concienciación debe ser universal, como propugna Silvia Barrera en el módulo 2.2 de C1b3rWall Academy 2021/2022.

Curiosamente, tras visualizar uno de los videos del bloque de delitos patrimoniales del módulo; abro mi correo y me encuentro un e-mail en plena bandeja de entrada; un ejemplo de phishing de libro.

-¡Ni DKIM ni c... -protesto en voz alta. Cada vez son más los correos de cierre de cuenta en Amazon, Paypal y demás, que consiguen eludir la carpeta de Spam.

Un supuesto contacto (phishing), me desea un gran día (en perfecto castellano) y me invita a visitar un enlace. Otra debilidad humana no comentada previamente es la curiosidad. Máxime si se supone que tras el enlace hay algo relacionado contigo. Como en el mensaje de Facebook inferior.

Con los ecos recientes de la ponencia de Cyberwall, me dispongo a realizar un rececho informático del enlace.

Lo más rápido y directo es consultar en Virus Total, para ver cuántos motores antivirus detectan algo.

Solo tres AV lo marcan como Spam. El bichín juega en ligas mayores.

Vamos a ejecutarlo en la sandbox online Any.

Éste es el análisis completo.

Se detectan conexiones a Ip´s maliciosas en varios países y varias alarmas en la matriz Mitre. Veredicto: enlace malicioso.

Pero la IP alemana de Any no me acaba de convencer; quiero ver los efectos del bicho con una IP local.

Abro Sandboxie y ejecuto dentro un navegador.

¿Quién no quiere ganar algo de dinero con los Bitcoin? (Scam). Total, invierto un poquito y, gane o pierda, me retiro ¿no?

Pues nada, no voy a desperdiciar la oportunidad que me brinda mi amigo. Paso al registro.

Creo un correo desechable, pero ni siquiera me mandan un mail de confirmación. Estos muchachos están deseosos de estafarme.

Paso directamente a mi perfil de inversor, donde puedo elegir mi método de financiación de cuenta...

Es una lástima que no me regalen un bono de 10$ como en los casinos, a lo mejor hasta me animaba a "invertir".

Conclusión: Una cacería muy divertida, con spam-phishing-conexión maliciosa-scam-posible troyanización.

Por desgracia, los casos reales que relata Silvia Barrera en el módulo de Concienciación no son nada jocosos. Con personas perdiendo muchos miles de euros en alquileres y ventas falsos o con graves pérdidas materiales y emocionales por culpa de la "estafa nigeriana".