En 2016 un grupo de investigadores hicieron un experimento: dejaron 297 pendrives USB por la calle para ver qué hacían los usuarios que se los encontraban. El 48% de aquellas unidades se recogieron y se conectaron a un ordenador, algo que demostraba lo peligrosa que puede ser esa práctica para los usuarios (y lo provechosa que puede ser para ciberatacantes). En estos días hay un nuevo giro a ese experimento: hay quien está recibiendo relojes inteligentes en un sobre en su buzón físico de correos.
Regalos no solicitados. Hace unos días la División de Investigación Criminal (CID) del Departamento del Ejército de EEUU hizo un anuncio llamativo: varios de los miembros del ejército habían "recibido relojes inteligentes no solicitados en el [buzón de] correo". ¿Qué estaba pasando?
Malware por correo. Los expertos de ese organismos analizaron uno de esos dispositivos y descubrieron que nada más encenderlo, éste se conectaba automáticamente a redes Wi-Fi cercanas y se intentaba conectar a móviles que estaban a su alcance. Según sus análisis, había riesgo potencial de que esos relojes contuviesen malware para robar información personal y confidencial, además a a lograr activar y acceder de forma silenciosa cámaras de nuestros dispositivos.
Origen desconocido. Como indican en CNN, no está claro quién ha sido el responsable de los envíos, pero el CID sospecha que todo apunta a una ciberamenaza de contrainteligencia. "Los smartwatches, como cualquier otro dispositivo wearable, pueden ser utilizados por adversarios para obtener una amplia colección de información personal y suponen una amenaza para la seguridad de los miembros de la Armada y el Cuerpo de Marines de EE.UU", explicaban.
Un viejo truco. No se ha indicado cuántos militares han recibido este tipo de envío, pero esta técnica podría ser una forma fácil de lograr acceso al personal con información sensible. Rick Holland, veterano del ejército y experto en ciberseguridad, indicaba cómo "Los militares que acaban de llegar al cuerpo no ganan mucho dinero, por lo que recibir un smartwatch gratis por correo sería muy emocionante para muchos".
Brushing. Esta palabra es la que utilizan los expertos para denominar una práctica cada vez más frecuente entre algunos fabricantes. Consiste en que un vendedor envía pequeños paquetes de poco valor usando el nombre y dirección de una persona cualquiera —datos relativamente fáciles de averiguar—. A partir de ahí pueden publicar una reseña falsa en Amazon con esa identidad suplantada, lo que les hace ganar reputación y e impulsar las ventas.
Cuidado con los regalos solicitados. Como ocurría en el caso de esos pendrive USB desperdigados por la calle para el citado experimento, para muchos este tipo de hallazgos podría ser percibido como un regalo que uno podría aprovechar. En estos casos, no obstante, conviene desconfiar y tratar de no encenderlos directamente. Si uno se propone utilizar esos dispositivos, lo ideal es hacerlo en primer lugar en un entorno controlado y aislado en el que podamos averiguar si efectivamente pueden representar una amenaza.
Imagen | Olivier Rouge
Ver 19 comentarios