Este artículo ha sido posible gracias al apoyo de NordVPN, la VPN que utilizo en mi día a día para conectarme de forma segura a mis cuentas y servicios digitales, y que tiene estos días un descuento del 68% con tres meses gratis.
********
Leía el otro día el análisis de una campaña de phishing en el blog de Kaspersky.
En principio, nada del otro mundo. El típico email que se hace pasar por un empleado de la compañía como gancho para entrar hasta la cocina. Una campaña BEC de toda la vida.
Sin embargo, hay un punto que sí me pareció interesante, y es que según los analistas, el correo iba firmado con un:
Sent from my iPhone
Que no estaba puesto simplemente, sino que cargaba en base a los datos que los cibercriminales tenían previamente de la víctima.
Que esa firma típica que por defecto pone la aplicación de Mail en los iPhone, y que tiene como objetivo generar mayor confianza (oye, parece que lo ha enviado desde el móvil y no masivamente a miles de potenciales víctimas), estaba ahí porque gracias a los pixeles de seguimiento los cibercriminales sabían que el objetivo utilizaba un iPhone.
No voy a descrubir la pólvora en esta pieza, pero sí me ha parecido lo suficientemente revelador como para dedicarle un artículo de este nuevo capítulo de la serie #MundoHacker al papel que juegan el pixel de seguimiento en el cibercrimen.
¡Vamos!
Índice de contenido
Primero de todo, ¿qué son los píxeles de seguimiento?
El pixel de seguimiento, también conocido como faro o baliza web (web beacon), no es más que una pieza de software que acompaña a cualquier otro contenido enviado por soportes digitales y que tiene como único fin el obtener información del receptor de ese contenido.
Dicho en plata:
- Cuando entras en cualquier web, como ésta, cargan una serie de pixeles, entre ellos los de Facebook y Google que sirven para la analítica y publicidad.
- Cada vez que se te muestra una campaña publicitaria de tipo display (las que tienen imágenes o vídeos, vaya), realmente te está cargando un pixel de seguimiento para saber que a) esa publicidad debe mostrársete a ti y b) contabilizar el visionado y/o click adecuadamente.
- En muchos correos que recibes (casi todos los lanzados desde sistemas de newsletters e incluso los personales mediante extensiones de correo), se utilizan los pixeles de seguimiento para saber si el receptor (osea, tú) lo ha abierto.
Es decir, hablamos de una herramienta de marketing. Pero claro, también puede utilizarse para hacer el mal.
Y este es el caso de su implantación en campañas publicitarias y campañas de phishing.
El pixel de seguimiento en campañas publicitarias fraudulentas
Sobre esta tipología no me voy a parar mucho, ya que ya hemos hablado de ella largo y tendido en otras piezas.
Es más, por aquí expliqué cómo estafaron a mi pareja precisamente con una campaña publicitaria en Instagram.
Es un tema muy preocupante, y que demuestra una vez más que el negocio de Facebook se asienta bajo unos pilares terriblemente injustos y no regulados.
Ya no solo porque en efecto el imperio Facebook/Instagram ha crecido exponencialmente gracias al nulo control que implementan en la plataforma publicitaria. Prácticamente cualquiera puede lanzar campañas publicitarias vendiendo u ofertando lo que quiera.
¿Que lo pillan a base de denuncias de los usuarios?
Pues no pasa nada, ya que le bloquean la campaña, pero siempre puede crear otra y seguir facturando.
Y no solo eso, es que este sistema de tracking masivo se está utilizando también para segmentar audiencias con fines maliciosos. Tanto a la hora de elegir potenciales nuevas víctimas para futuras campañas, como también para influir en la toma de decisión de colectivos, como hemos visto en las últimas elecciones en prácticamente todos los países democráticos.
Todo gracias a los pixeles de seguimiento y a los patrones de audiencia generados por el imperio de Zuckerberg.
El pixel de seguimiento en campañas de phishing
Lo explicaban con bastante acierto los chicos de Kaspersky (ES):
Mientras estás de viaje en el extranjero, te llega un mensaje a tu bandeja de entrada del trabajo que parece ser relevante para tu empresa. En cuanto te das cuenta de que se trata de una solicitud no deseada, lo cierras y lo eliminas, pero mientras tanto, el atacante se enteró de lo siguiente:
– Estás en otro país, a juzgar por tu dirección IP. Eso significa que está complicado el contacto personal con tus compañeros de trabajo. Por tanto, eres un blanco fácil de imitar.
– Utilizas un iPhone (abriste el mensaje con la aplicación Mail para iOS), así que añadir la firma “Enviado desde mi iPhone” le añadirá credibilidad al correo falso.
– Leíste el correo a las 11 de la mañana. Por sí solo, no es nada relevante, pero si recibes mensajes regularmente, los ciberdelincuentes podrán adivinar tu horario y sincronizar un ataque para que coincida con un lapso en el cual no estás disponible.
¿Podemos defendernos de los usos fraudulentos del pixel de seguimiento?
La respuesta rápida es que sí.
- Gracias a un servicio VPN (ES) podemos ofuscar parte de esa información (la IP, y por ende, la información de conexión), evitando entonces exponer dicha información. Además del resto de beneficios de utilizar una VPN (no solo para el correo, sino para cualquier conexión que hagamos).
- Afortunadamente cada vez más gestores de correo por defecto bloquean la carga dinámica de contenido en los mails que provienen de direcciones desconocidas. Y al no cargar las imágenes, no cargan los pixeles, ergo no hay tracking. Los que se marcan como SPAM directamente tienen bloqueado la carga de imágenes, por lo que siempre es recomendable que antes de que la actives, te asegures de que en efecto ese correo es legítimo y no está marcado como SPAM porque lo sea.
- También es cierto que algunas internets corporativas, como medida de seguridad, bloquean el seguimiento de carga dinámica. Esto ya depende, por supuesto, de la configuración que haya implementado el equipo de IT, y de las herramientas que se utilicen. Por ejemplo un servidor que suele implantar GSuite en varias empresas suele dejarlo por defecto como bloqueado.
- El problema surge con las primeras tipologías, las que dependen del seguimiento propio que hace una plataforma como Facebook o Instagram. Ahí ya te adelanto que no hay forma de evitarlo más allá de la obvia, que es no utilizar redes sociales, y navegar por Internet con sistemas anti-tracking, a sabiendas de que esto último puede hacer que las páginas que visitamos directamente no funcionen o funcionen con problemas.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Este artículo ha sido posible gracias al apoyo de NordVPN, la VPN que utilizo en mi día a día para conectarme de forma segura a mis cuentas y servicios digitales.