Comprendiendo el Abuseware: Perspectivas del Hacker Ético Inti De Ceukelaire

A medida que las organizaciones refuerzan su seguridad en línea contra el hacking, los ciberdelincuentes encuentran constantemente nuevas formas de cometer fraude. El hacker ético e investigador de ciberdelitos Inti De Ceukelaire explica el creciente fenómeno del abuseware y ofrece algunos consejos para ayudar a evitar convertirse en víctima.

Listen to full conversation with Inti now!

Hasta hace poco, era relativamente barato y fácil llevar a cabo campañas exitosas de spam por correo electrónico a gran escala para defraudar a los desprevenidos. Pero al usar IA, los proveedores de correo electrónico han elevado el nivel en términos de poder diferenciar entre un correo electrónico legítimo y una estafa. Siempre en busca del camino de menor resistencia, los estafadores están recurriendo a otros medios para separar a los desprevenidos de su dinero.

En este contexto, el mal uso y la utilización indebida de aplicaciones y herramientas legítimas para fines fraudulentos o ilegales están en aumento. En lugar de enviar mensajes directamente a los objetivos con una estafa como el clásico correo electrónico del ‘Príncipe Nigeriano’, los estafadores explotan la identidad de una marca y sus características legítimas para pasar por filtros de spam e interactuar con sus posibles víctimas. Esto es el abuseware en pocas palabras.

An underestimated problem

Como Director de Hackeo en la plataforma de recompensas por errores y divulgación de vulnerabilidades Intigriti y miembro fundador del Consejo de Políticas de Hackeo, Inti De Ceukelaire está en una posición privilegiada para observar lo que están haciendo los ciberdelincuentes. Él ve el software malicioso como el problema más subestimado en el fraude en línea.

“Por supuesto, las personas siempre están encontrando vulnerabilidades reales, errores de software que, por ejemplo, te permiten hablar con una computadora y convencerla de que te dé todos los registros de datos que tiene. Pero también hay escenarios en los que algo no se clasificaría realmente como una vulnerabilidad. Es un comportamiento de un sistema, o tal vez puedes modificar un comportamiento de cierta manera, pero no afecta realmente la integridad o la confidencialidad de ese sistema. Sin embargo, si te pones el sombrero de un estafador o alguien con malas intenciones, realmente puedes hacer algo malicioso con eso.”

We’ve got a file on you

Quizás el ejemplo más conocido de software malicioso actualmente sea el mal uso de las cargas de archivos. Muchas empresas tienen algún tipo de funcionalidad de carga de archivos como parte de su presencia en línea. A veces, solo es para subir tu foto personal a tu perfil. En otros casos, puedes alojar archivos. Sin embargo, a veces un estafador puede encontrar una manera de eludir los límites de tamaño de archivo y cargar archivos más grandes.

“Ahora puedes decir, está bien, aparte de tal vez ocupar un espacio extra, ¿por qué deberíamos preocuparnos?” comenta Inti. “Pero luego mucha gente comenzó a abusar de eso para, por ejemplo, alojar sitios de phishing maliciosos o contenido que, si lo aloja, como empresa, realmente podría meterte en problemas. Entonces, aunque es una funcionalidad prevista, si la gente puede abusar de ella, puede causar mucho daño a tu empresa.”

Taking Uber for a ride

Otro uso de aplicaciones legítimas para fines nefastos es el lavado de dinero. Un ejemplo famoso explotó la conocida aplicación de viajes compartidos Uber. La estafa involucraba la falsificación de señales GPS a dos teléfonos separados (representando al conductor y al pasajero) para hacerles creer que estaban viajando por rutas legítimas, aunque muy largas. De hecho, ambos teléfonos estaban sobre el escritorio de un estafador. El autor de la estafa luego usaría una tarjeta de crédito robada para pagar la ‘tarifa’ a través de Uber, con el dinero recibido en la cuenta del ‘conductor’.

“Por supuesto, Uber ha implementado muy buenas medidas para prevenir esto, y es algo que cualquier empresa puede enfrentar”, dice Inti. Pero es solo otro ejemplo de cómo las empresas legítimas se ven involucradas en el fraude. Y no es fácil implementar algo como una matriz de evaluación de riesgos o un sistema de puntaje de gravedad de vulnerabilidades.”

Double booking.com

Un tercer ejemplo común que recientemente ha tomado una nueva forma es la explotación de los mercados en línea. Probablemente conozcas a alguien que ha tenido la experiencia de comprar algo en línea que nunca llegó. Sin embargo, Inti destaca un fenómeno creciente en el que los estafadores hackean las credenciales de inicio de sesión de un hotel en un sitio como booking.com y se hacen pasar por este negocio legítimo para obtener ganancias ilegales. Por ejemplo, los estafadores envían un mensaje a través de la cuenta del hotel a los usuarios que han reservado para quedarse en la propiedad explicando que necesitan pagar una tasa de turismo, ¡y proporcionando amablemente un código QR para hacerlo!

“Es algo que para la mayoría de las empresas no estaba realmente en su radar. Saben que las cuentas de usuario pueden ser hackeadas, y piensan en el impacto individual”, comenta Inti. “Pero rara vez piensan en el ecosistema más amplio, donde la interacción entre tus usuarios se está aprovechando fundamentalmente para llevar a cabo un esquema de phishing. Eso es ciertamente algo que hemos visto aumentar en los últimos años.”

Inti’s top tips

Como alguien que está en contacto diario con el comportamiento y las vulnerabilidades tanto de individuos como de empresas en línea, Inti tiene un consejo sabio que va más allá de los consejos más comunes que existen.

Separate your professional and personal profile online: Many of us now operate in a hybrid remote working environment where it can be difficult to maintain the dividing line between your professional and private lives. It may seem like a natural extension of having a photo of your kids on your desk to add one as a screensaver on your work laptop. You may even feel comfortable to access a whole range of personal files through your work computer. However, if your company falls victim to a ransomware attack, your family pictures or personal financial information can also be ransomed, and the company’s problem becomes your personal problem.

Dispose of legacy email addresses properly: Most people change jobs over time, while companies often change their names or merge with other businesses. As a result, company email addresses often become redundant, however, they are not always properly retired or deleted. Often these addresses are used to register for third-party services such as Dropbox or Jira without two-factor authentication protecting them. In time, the email domain becomes available, allowing a fraudster to buy your email address, set up a password reset link, and access whatever you set up via that email account. CISOs in particular need to be aware of this issue and ensure the necessary protocols are in place to prevent redundant email addresses being exploited in this way.