Octubre, el mes de concienciación sobre la Seguridad Informática, ya finalizó, pero dejó varias lecciones aprendidas que esperemos que permanezcan con los usuarios en el próximo tiempo.
Una de esas lecciones de concienciación sobre ciberseguridad es no fiarse nunca de los enlaces que veas en tu correo electrónico, ya que podrían ser fácilmente maliciosos y formar parte de una campaña de phishing.
El consenso general de la opinión de seguridad es que, como mínimo, debemos pasar siempre el puntero del mouse por encima de un enlace para revelar el destino real de la URL en lugar de sólo ver el texto, que podría decir cualquier título. Sin embargo, ¿Y si al pasar el puntero por encima del enlace malicioso nos muestra los mismos detalles falsos que el texto?
Los ciberdelincuentes están utilizando una técnica relativamente sencilla para ocultar el verdadero destino de un enlace malicioso destinado a los usuarios de Gmail que recurren al sitio web en lugar de descargar la aplicación para su correo electrónico. Acá todo lo que necesitamos saber sobre esta táctica de ataque:
¿Es seguro pasar el puntero por encima de los enlaces? La respuesta es complicada
Un usuario de Gmail planteó la siguiente pregunta: ¿Es seguro pasar el ratón por encima de archivos adjuntos (sin hacer clic en ellos ni descargarlos)? El autor estaba preocupado porque había pasado el mouse por encima de un archivo adjunto y luego lo había eliminado sin hacer clic ni descargarlo, pero dudaba de si el acto podría desencadenar una ejecución maliciosa de algún tipo.
Las respuestas se mostraron de acuerdo en que es seguro pasar el ratón por encima siempre que no se haga clic.
Sin embargo, el mensaje "pasa el mouse por encima y no hagas clic" se predica con frecuencia como parte de las prácticas de la buena seguridad cuando se trata de enlaces en el correo electrónico. Al pasar el ratón por encima de un enlace podemos ver rápidamente adónde nos lleva realmente y no adónde dice el texto del enlace que te llevará. Esta estrategia simple es una de las favoritas de la fraternidad del phishing desde hace décadas.
El problema con este consejo, aunque sigue siendo muy recomendable, es que no es a prueba de balas. La cruda verdad en materia de ciberseguridad es que ninguna medida defensiva garantiza al 100% su funcionamiento, siempre hay excepciones y son éstas las que los ciberdelincuentes buscan explotar en su beneficio. Así pasa también con el rastreo de enlaces.
La excepción de Gmail a la regla
Hace ya algunos años, en 2020, los líderes de la ciberseguridad que trabajan en KnowBe4 alertaron de que no todo era confiable en el mundo de la protección contra los links maliciosos.
Después de falsificar el texto del enlace para que parezca que se trata de la página de inicio de sesión o del sitio auténtico que espera el usuario, los ciberdelincuentes en este escenario falsifican también el enlace.
Esto no es difícil de hacer ya que todo lo que se necesita es un simple HTML, sin necesidad de codificación Javascript, para editar la etiqueta del texto al pasar el mouse. La razón por la que funciona es que la etiqueta de texto al pasar el ratón se muestra justo al lado del enlace sobre el que se pasa el ratón, pero cuando se utiliza un cliente web para acceder a Gmail la URL real se muestra, en Chrome por ejemplo, en la parte inferior de la pantalla. La cuestión es que el atacante cuenta con que el lector no mire a otra parte que no sea la URL que aparece junto al enlace.
Los clientes que usan la aplicación de escritorio o para el móvil no parecen sufrir este fallo de seguridad, por lo que la fuerte sugerencia es descargar el Gmail para leer tus correos si te preocupa un ataque, en vez de abrirlo desde el navegador web.
Un miembro de la comunidad de ciberseguridad afirmó que recientemente se encontraron con exactamente la misma táctica en un correo electrónico de phishing y que se trata de un vector de amenaza creciente.
Si sos usuario de Gmail, o de cualquier plataforma de correo electrónico basada en la web, tené cuidado al repasar una URL, para que sea la dirección del enlace real.
Nota publicada en Forbes US.