Mia Ash era una mujer británica de 30 años con dos títulos en arte, una exitosa carrera como fotógrafa y muchos amigos, más de 500 en Facebook y otros tantos en LinkedIn. Una amplia proporción de sus contactos eran de Oriente Medio. Y su estado sentimental en Facebook era “complicado”.
Casi, de inmediato, la joven logró cautivar a un ejecutivo de mediana edad al que se acercó en línea, quien le mostró su afición a la fotografía.
El contacto inició en LinkedIn, en donde ambos compartían puntos de vista sobre su portafolio, se trasladó a Facebook a un nivel más íntimo y el flirteo se afianzó al punto de que Mia le envío un correo con un archivo adjunto para lo cual le solicitó que lo abriera en su red de oficinas, diciéndole que funcionaría mejor.
Detrás de un perfil
Lamentablemente había un problema: Mia Ash no existía.
Todo alrededor de la joven era un invento, su biografía era fabricada y las fotos que circulaban en sus redes sociales pertenecían –en realidad– a otra mujer.
Según la revista Wired, los investigadores de la firma SecureWorks creen que Ash es la elaborada creación de unos piratas informáticos iraníes patrocinados por el Estado que han atacado durante años docenas de organizaciones en todo el Medio Oriente en una masiva campaña de espionaje y –probablemente- de destrucción de datos.
Cuando el incauto ejecutivo procuró abrir el archivo de su nueva amiga , ocurrió lo inesperado: el intento de instalación del malware PupyRAT. Un software que finalmente fue bloqueado.
Así, Ash fue descubierta.
“Rara vez los hackers maliciosos se toman la molestia de construir un personaje de larga duración”, dijo Allison Wikoff, investigadora de SecureWorks que dirigió el análisis, luego de revisar las cuentas de Facebook, LinkedIn, Blogger y WhatsApp, así como dos direcciones de correo electrónico de Ash.
Personajes verosímiles
Para Dmitry Bestuzhev, director del equipo global de Investigación y Análisis de Kaspersky Lab en América Latina, el caso de Mia Ash no es el único en que se emplean perfiles en redes sociales como gancho para ataques dirigidos. “Ya hemos observado ataques similares donde los perfiles sociales eran el paso uno hacia redes corporativas”, sostuvo.
De hecho, entre los vectores de ataque que emplean los cibercriminales para propagar sus amenazas sobresalen dos: la explotación de vulnerabilidades y la ingeniería social. Camilo Gutiérrez, jefe del Laboratorio ESET Latinoamérica, detalla así que esta consiste en engañar a un usuario para que entregue información personal o realice acciones que comprometan sus dispositivos.
“Las redes sociales son un medio popular y por eso los ataques de este tipo van a persistir”, advierte Bestuzhev. “La ingeniería social es uno de los métodos favoritos de los atacantes. No cuesta. Solo se necesita pensar cómo hacer caer a la víctima pero no implica altos costos por uso de exploits o similares”, prosigue.
Es así que las técnicas de ingeniería social van más allá. “Ya no basta con el falso correo de una entidad financiera. Ahora las redes sociales y el anonimato que otorgan las convierten en un mecanismo para perpetrar ataques”, subraya Gutiérrez.
Ataque sofisticado
Según Wikoff, Mia Ash funcionaba como táctica secundaria: si el personal de una empresa no caía en correos de phishing tradicionales, este personaje podría construir la confianza necesaria antes de enviar a la víctima una carga de malware.
“Las trampas digitales pueden ser muy sofisticadas, con ‘personas’ de historias largas y personalidades convincentes”, señala.