El correo electrónico sigue siendo una de las principales armas de los cibercriminales. Más allá de los casos de 'phishing' o suplantación de la identidad de una empresa, los atacantes solo necesitan un asunto llamativo que despierte la curiosidad del destinatario del correo para elevar sus probabilidades de éxito. La última tendencia en ciberdelincuencia se aprovecha de 'la gran renuncia' que planea sobre países como Estados Unidos y que implica una oleada de marchas voluntarias de trabajadores: se trata de la carta de renuncia falsa.
El asunto de este tipo de correos viene acompañado de un supuesto enlace al servicio Dropbox, en lugar de un fichero adjunto, como suele ser habitual, según explica el director de Investigación y Concienciación de la firma de seguridad informática ESET España, Josep Albors, en un comunicado de prensa remitido a Europa Press. El objetivo es hacer pensar a la víctima que se trata de un documento especialmente grande, no de una amenaza.
Al pinchar en el enlace la víctima es redirigida a una web diseñada por los criminales que intenta suplantar la página del servicio de almacenamiento de archivos. A continuación, el sitio pide que se introduzcan sus claves para acceder al archivo compartido. En ese momento el usuario puede elegir introducir las claves de su correo personal o las del mail corporativo. Si se introducen las credenciales de esta última la integridad de la compañía puede quedar comprometida.
Los usuarios de internet solemos bajar la guardia cuando llegamos a páginas que ostentan un certificado válido de seguridad. Los cibercriminales lo saben y por ello llevan ya años haciendo uso de ellos en sus webs maliciosas debido a que pueden obtenerlos gratuitamente en servicios como 'Let's encrypt'. Eso es lo que ocurre con la web falsa de Dropbox. El sitio dispone de un certificado válido con su candado de seguridad y dispone además de una conexión segura HTTPS. Ojo, que esto último no implica que la página sea segura, sino que la conexión con ella está cifrada.
Según la investigación de ESET, este sitio obtuvo su certificado válido de seguridad hace dos semanas. De hecho, el dominio fue registrado solo un día antes de obtener el certificado, la persona encargada de hacerlo reside presuntamente en Finlandia y la IP donde se aloja la web está en Moscú (Rusia).
La ubicación de la IP es especialmente problemática, ya que según ESET no hay consenso entre todos los servicios que permite comprobar esta dirección y algunos apuntan que la web está alojada en un servidor de Estambul (Turquía). Esta misma IP ha sido detectada en dominios recién creados para suplantar la identidad del proveedor de 'hosting' y correo alemán Ionos.
Solo un clic nos separa de caer en la trampa tendida por un ciberdelincuente. Para evitar ser víctima de uno de estos ataques el usuario debe estar atento ante cualquier mensaje no solicitado que reciba. Esto incluye sospechar incluso si el remitente es alguien conocido o un compañero de trabajo.
También es recomendable evitar pulsar sobre cualquier tipo de enlace o fichero adjunto que acompañe a este mensaje. Las empresas, por su parte, deben implantar una serie de soluciones de seguridad para identificar correos maliciosos de distinta naturaleza.