menu MENÚ
MALDITA TECNOLOGÍA

Origen de páginas web de casos de ‘phishing’, cómo detectar si nuestro ordenador está infectado y cómo bloquear SMS fraudulentos: llega el primer consultorio de Maldito Timo

Publicado
Comparte

¡Hola, malditas y malditos! Bienvenidos al primer consultorio de Maldito Timo, donde a partir de ahora vamos a resolver todas las preguntas que tengáis relacionadas con los fraudes online y las ciberestafas. Hoy empezamos con algunas consultas que ya nos habíais dejado a través de nuestros canales: ¿cómo bloqueamos los números de teléfono desde los que nos envían casos de phishing? Si me envían un enlace de phishing que termina en ‘.ru’, ¿significa que alguien me intenta timar desde Rusia? ¿Cómo compruebo si mi ordenador está infectado con un malware o un virus informático?

Nos encontraréis disponibles en el correo electrónico [email protected], en nuestro perfil de Twitter, Facebook y también en nuestro chatbot de WhatsApp (+34 644 229 319). Podéis mandarnos todas las preguntas que tengáis relacionadas con los timos online y las resolveremos el último martes de cada mes. ¡Vamos que nos vamos!

¿Cómo bloquear números de teléfono que nos envían intentos de ‘phishing’ y ‘spam’ a nuestros móviles?

Suplantan a nuestro banco, a la empresa de mensajería de la que quizá estemos esperando un paquete o a la Seguridad Social haciéndonos creer que nos deben un reembolso.

En Maldita.es ya os contamos qué podemos hacer para no recibir spam e intentos de phishing en el email. Ahora os hablamos de los SMS fraudulentos que llegan a miles de teléfonos intentando hacerse con nuestros datos o nuestro dinero y cómo bloquear los números que nos contactan con ellos. Son casos de smishing, el phishing que llega a través de SMS, y en ocasiones nos la pueden colar con ellos. Fue lo que le pasó, por ejemplo, a una lectora de Maldita.es a quien le estafaron 1.600 euros con un mensaje que suplantaba al banco BBVA.

Raúl Cosano, ingeniero informático experto en ciberseguridad y uno de los malditos que nos ha prestado sus superpoderes, explica que uno de los métodos podría ser el de bloquear el número desde el que se nos envían esos mensajes, pero que “es poco a nada efectivo porque los delincuentes cambian de origen cada muy poco tiempo”. Esta opción estará disponible o no en función de la aplicación de mensajería SMS que tengamos en nuestro dispositivo y habría que hacerlo manualmente con cada mensaje que nos llegue a través de los propios ajustes del móvil, que suelen dar la opción de “bloquear el contacto”.

Para sortear ese inconveniente, Cosano afirma que podemos apuntarnos en “‘blackLists’ [listas negras] que se comparten entre todos los usuarios”. Son directorios en los que se apuntan números de teléfono o dominios que una comunidad ha identificado como maliciosos o fuente de spam. De esta manera, “si un número determinado de personas coinciden en etiquetar como SPAM un mensaje”, este “directamente se bloquea para el resto de personas de la comunidad”.

Existen aplicaciones de seguridad que tienen esta función, como Avast o Bitdefender, señala Cosano. Pero el experto recomienda utilizar la aplicación de gestión de SMS de Google en el caso de tener un sistema operativo Android y la versión para iOS en caso de usar un dispositivo Apple.

Para activar la opción de protección contra spam en el caso de Google (si usamos un teléfono Android), debemos abrir la aplicación, hacer clic sobre los tres puntitos de arriba a la derecha y en “Protección contra spam”.

Cosano afirma que una vez activada esta opción, “entrará de vez en cuando algún SMS indeseado, solo será de manera ocasional”, por lo que nos libraremos de la mayoría de esos mensajes que no queremos recibir. Aun así, tenemos la opción de ver cuáles se redirigen a “Spam y bloqueado”.

Aunque no está disponible en todos los países, Google también permite activar la opción de SMS verificado, con la que “puedes averiguar la identidad real de las empresas que te envían mensajes y, de este modo, protegerte frente a ataques de phishing”, como explican en su web, por lo que tendríamos una protección extra.

Con el sistema iOS, Apple ofrece la opción de filtrar mensajes de remitentes desconocidos a través de su app “Mensajes”. Esto desactiva las notificaciones de los mensajes cuyos remitentes no están en nuestra lista de contactos y los recopila en una lista aparte. Con esta configuración activa no podremos abrir ningún enlace que nos llegue a través de esos mensajes.

Además de estos consejos, Raúl Cosano recomienda también desconfiar de todos los SMS que nos piden datos personales o bancarios: “Las comunicaciones que hacen las empresas legítimas vía SMS son unidireccionales”, por lo que no esperan respuesta, apunta Cano, a diferencia de los casos de phishing, en los que nos suelen pedir que pinchemos en un enlace y proporcionemos nuestros datos.

Por último, el experto en ciberseguridad aconseja “no facilitar nuestro número de teléfono en webs o concursos o en cadenas de SMS”. Explica que “estos medios son utilizados para crear las bases de datos que después son utilizadas para enviar el smishing y la publicidad”. Y añade: “Si tu teléfono está en todas las bases de datos habidas y por haber, inevitablemente tendrás más papeletas para ser invitado VIP en cualquier intento de estafa futura”.

Me llegan intentos de ‘phishing’ con enlaces a webs con extensión ‘.ru’ (de Rusia). ¿A qué se debe? ¿Son páginas web creadas en Rusia?

Los timos nos pueden llegar de muchas formas y maneras. Desde anuncios en Facebook que nos intentan hacer caer en un timo a través de alguna promoción, pasando por un SMS fraudulento que nos llega directamente. Sin embargo, gran parte de ellos tienen algo en común, y es que intentarán que pinchemos en un enlace a una página externa, en la que a través de diferentes recursos intentarán obtener nuestros datos o nuestro dinero.

A lo largo de los diferentes intentos de timos que os hemos explicado, hemos encontrado algunos elementos en común. Uno de ellos es que estos dominios fraudulentos incluyen una extensión relacionada (o que se “corresponde”) con otros países en el extranjero (en lugar del ‘.es’ que corresponde a España). Una de las extensiones que aparece con frecuencia entre los casos de phishing que nos han llegado es ‘.ru’ (asociada a Rusia). Desde sitios web fraudulentos haciéndose pasar por tiendas de ropa hasta sorteos falsos o phishing. Esta situación se ha agravado recientemente, a raíz de la guerra que este país inició en Ucrania.

¿Cómo podemos saber si realmente un enlace pertenece a un sitio que está hospedado en el extranjero? Más importante aún, ¿una extensión ‘.ru’ significa que nos están timando específicamente desde ese país?

Vamos por partes. Hay varios elementos en los que nos podemos fijar al analizar un enlace que nos puede resultar sospechoso. En Maldita.es ya os hablamos de cómo analizar un enlace y las partes que lo conforman para que no te la cuelen. Por ejemplo, podemos observar si el sitio web emplea un protocolo seguro (por norma general, “https”, que aparece al principio de la url). Otra característica importante es si el dominio (es decir, el nombre de la dirección) coincide con el nombre de la web a la que estamos intentando acceder, o la organización que supuestamente se dirige a nosotros.

Distintos elementos de una dirección web. Fuente: https://partesde.info/direccion-web/

Por otro lado, están las extensiones: ese código que cierra la dirección web de cualquier página. La extensión es la parte de un enlace que, en un principio, nos arroja datos que nos permite identificar la página web, e incluso su supuesta procedencia.

El caso más conocido en nuestro país es el ‘.es, que es la extensión asignada por la Autoridad de Asignación de Números de Internet (IANA, por sus siglas en inglés) para referirse a aquellas páginas web registradas bajo el código de España. La extensión varía dependiendo de la zona geográfica: “.uk” se refiere a Reino Unido, mientras que “.us” se relaciona con Estados Unidos, y así sucesivamente.

Con el aumento de casos de phishing que incluyen la extensión ‘.ru’, podríamos pensar que ha aumentado el número de webs fraudulentas procedentes, o directamente, el número de timos procedentes de Rusia. Pero… ¿La extensión ‘.ru’ indica que el sitio sólo puede proceder de Rusia? ¿Significa esto que para crear una página con alguno de estos dominios sólo se puede hacer desde el país al que hace referencia? Lo cierto es que no.

Como asegura nuestro maldito Walter Verdejo, especialista en servicios de almacenamiento en línea, una persona no tiene por qué pertenecer o desplazarse a un país para emplear su dominio. Es decir, ‘.ru’ no significa que sea ruso. Nuestro también maldito Jorge Louzao Penalva, experto en ciberseguridad, nos dice que “tú también puedes registrar un dominio ‘.ru’ si quieres [desde España]”.

En el caso de España, tampoco es necesario que una persona esté viviendo en el país para registrar un dominio ‘.es’. Esto quiere decir que los datos de una persona se podrían estar tratando desde otro país, pese a que el dominio pueda dar a entender que se están gestionando en otro (Rusia, en el caso de ‘.ru’, o España, en el caso de ‘.es’, entre otros ejemplos).

Otro de nuestros malditos, Carlos Fernández Llamas, desarrollador de software y especialista en servicios web y privacidad, nos explicaba que en algunos casos puede haber condiciones concretas para acceder al registro de algunas extensiones. Ponía ejemplos como los dominios “.eus”, que necesariamente tienen que haber de la cultura vasca o incluir contenido en euskera. Sin embargo, este no siempre es el caso.

Un ejemplo reciente de intento de suplantación es el de una página se hacía pasar por Stradivarius, en la que los timadores empleaban la extensión ‘.ru', pese a que el nombre de la página y sus contenidos se encontraban en español. En este caso, Verdejo nos explicaba que, probablemente, esta extensión era usada para dificultar el acceso a los datos de la página y su autoría a través de herramientas como whois, un directorio que nos permite conocer la procedencia de un dominio o quién lo ha registrado.

En estos casos, la colaboración ciudadana es imprescindible. Louzao nos cuenta que, en caso de toparnos con una web fraudulenta que intenta suplantar a otra empresa, es imprescindible denunciarla al servicio SafeBrowsing, señalando a qué web está tratando de suplantar. Este servicio, una vez verifica que una web está suplantando a otra empresa, añade a la web fraudulenta a una lista de bloqueo que hace que los navegadores web (incluidos los smartphones, tablets, etc.) alerten al usuario de que está intentando a acceder a una web falsa.

¿Por qué los timadores recurren tanto a registrar dominios extranjeros? La razón la encontramos en los mecanismos que regulan y velan por la seguridad en la red. En el caso de España, encontramos un acuerdo entre la Entidad Pública Empresarial Red.es y el Instituto Nacional de Ciberseguridad (INCIBE), que establecen en un oconvenio el objetivo de“colaborar en el proceso de depuración de la base de datos del Registro de nombres de dominio ‘.es’”. En otras palabras, asegurar que el dominio ‘.es’ se posicione como seguro.

Para este fin, es necesario que los registros de las páginas bajo esta extensión cumplan una serie de requisitos y mecanismos que permitan, entre otras cosas, identificar a los dueños de estás páginas, que sean seguras, y evitar que puedan ser usadas para cometer fraudes.

Precisamente este es uno de los motivos que lleva a los timadores a registrar sus dominios en otros países donde la regulación es más laxa para poder llevar a cabo sus ataques.

¿Cómo comprobar si nuestro ordenador tiene un ‘malware’ o “virus” instalado?

Cuando hablamos de posibles “virus” escondidos en nuestro ordenador, a lo que nos referimos normalmente es a un malware o programa malicioso. No hay un solo malware, sino que existen diferentes tipos: desde el conocido “virus informático” (al que nos referimos genéricamente), pasando por ransomware, spyware, etc.

Como explica en este vídeo el Instituto Nacional de Ciberseguridad (INCIBE), un malware es un programa informático que se caracteriza, principalmente, porque se ejecuta en el equipo infectado sin conocimiento ni autorización del propietario o usuario. Una vez se ejecuta, realiza acciones perjudiciales para el sistema. Entre los principales objetivos de un malware se encuentra el robo de datos y el secuestro del sistema, por ejemplo, y hoy en día son una de las principales amenazas que existen para los usuarios. Un malware puede llegar a nuestro equipo de distintas maneras, desde habernos descargado un archivo infectado, o haber conectado un USB que ya estaba contaminado a nuestro equipo.

Como señala la Oficina de Seguridad del Internauta (OSI), normalmente, darse cuenta de que un malware ha infectado nuestro ordenador sigue un patrón parecido. Lo primero que solemos notar cuando esto sucede es una “bajada de rendimiento” en nuestros dispositivos. ¿Qué significa esto? De manera general, nuestro equipo comienza a darnos problemas. Por ejemplo, que tarde más de la cuenta en encenderse, que se tome mucho tiempo para descargar un archivo de Internet, o incluso para abrir un archivo sin necesidad de conexión (que ya tenemos descargado en nuestro ordenador).

Ojo, esto no siempre es señal de alarma, sino uno de los síntomas. Por ejemplo, si nuestro equipo está descargando un archivo pesado, es normal que se tome su tiempo. Esto también sucede cuando intentamos descargar varios archivos a la vez, o si tenemos una conexión a Internet débil. Por ello, un “equipo lento” no siempre es un signo de que esté infectado. Sin embargo, en otras ocasiones sí que puede tratarse de un síntoma de un proceso malicioso. Al final, un malware ejecuta “procesos de fondo” en nuestro equipo. Es decir, que mientras llevamos a cabo nuestra actividad ordinaria, hay otra operación que se está llevando a cabo en el equipo, aunque no esté en primer plano o no podamos verla. De esta forma, consume el rendimiento de nuestro equipo y ralentiza su actividad.

¿Qué hacemos si notamos este comportamiento extraño en uno de nuestros dispositivos? Como primer paso, podremos escanearlo con un antimalware o un antivirus (que viene a ser un tipo de antimalware). Aún así, tal y como recuerda la OSI, es posible que la eficacia del antimalware no sea del 100%, y algunas amenazas se escapen al radar del mismo. Por esto, es importante saber que pueden detectar los malware en nuestro dispositivo de manera manual, tan solo observando unos “síntomas” clave.

El primer paso para detectarlos es saber qué tipo de sistema operativo tenemos, ya que habrá que proceder de manera distinta dependiendo de si trabajamos con Windows o Mac.

Comprobar manualmente un proceso malicioso con sistema operativo Windows

En caso de que nuestro equipo use el sistema operativo Windows, trabajaremos con la herramienta “Administrador de tareas”. Esta nos permitirá comprobar qué procesos se encuentran activos en nuestro equipo, y también podremos interactuar con ellos (comprobar su estado, cerrarlos, etc.). Como explica la OSI, esta herramienta será especialmente útil si tenemos la sospecha de que puede haber un proceso malicioso ejecutándose de fondo en nuestro equipo (si previamente ya nos hemos dado cuenta de que nuestro sistema iba más lento de lo normal, fallaba,etc.).

La OSI ofrece la siguiente guía de actuación para gestionar posibles malware desde el Administrador de tareas: hacer clic derecho sobre el botón “Inicio” y pulsar en ‘Administrador de tareas’. Una forma alternativa es pulsar las teclas ‘Ctrl + Alt + Supr’, y luego pulsar sobre ‘Administrador de tareas’. Dentro de la pestaña “Procesos” podemos ver los procesos activos en nuestro equipo, y el porcentaje de recursos que están consumiendo.

Pero, ¿cómo identificamos un proceso malicioso? Lo principal es buscar si hay alguna aplicación o proceso que no reconozcamos (cuyo nombre no nos sea familiar, que no recordemos haber abierto). En caso afirmativo, podemos también comprobar si esta aplicación o proceso está consumiendo muchos más recursos que el resto. Si aún tenemos dudas, podemos hacer clic derecho sobre el proceso en cuestión y pulsar en “Propiedades”. Aquí encontraremos toda clase de información sobre este proceso, desde cuándo se creó, dónde está almacenado en nuestro ordenador, etc.

Si una vez completado ese paso aún tenemos dudas, hay múltiples herramientas online que pueden ayudarnos. La OSI recomienda File.net, donde podemos buscar el nombre del proceso y descubrir si se trata de un proceso malicioso ya registrado. Todo esto puede ayudarnos a identificarlo. De hacerlo, debemos finalizarlo haciendo clic sobre él con la opción “Finalizar tarea”.

Si en efecto hemos finalizado un proceso malicioso, la OSI afirma que deberíamos notar rápidamente una mejoría en el rendimiento del equipo. De igual modo, recomienda analizar el sistema con nuestro antivirus para eliminar posibles rastros.

Cómo finalizar un proceso malicioso desde el Administrador de Tareas en el sistema operativo Windows.

Comprobar manualmente un proceso malicioso con sistema operativo de Mac (macOS)

Si nuestro ordenador usa el sistema operativo de Mac (macOS), deberemos proceder de forma ligeramente diferente. En este caso, deberemos acceder al “Monitor de Actividad”. Desde ahí, podemos obtener información sobre cada proceso haciendo clic sobre cada uno de ellos (veremos un pequeño botón con la letra “i” de información). El proceso de observación es similar al de Windows: podremos comprobar cuánta memoria está utilizando un proceso determinado, qué aplicación se está usando y cuál no, etc. Si hemos detectado un proceso sospechoso, podemos finalizarlo haciendo clic sobre el proceso y pulsando el icono de la cruz (situado en la parte superior izquierda de la ventana “Monitor de actividad”).

Si, por el contrario, no hemos encontrado ningún proceso sospechoso, pero nuestro equipo sigue funcionando de forma lenta o registrando fallos, el icono del engranaje (situado justo al lado de icono de la “i” y el de la cruz, mencionados en los pasos anteriores) nos permitirá ejecutar un diagnóstico del sistema, y nos informará si hay un proceso malicioso que debamos finalizar.

Cómo finalizar un proceso malicioso desde el Administrador de Tareas en el sistema operativo de Mac (macOS). Imagen: OSI.

En resumen, y como recomendación general, la OSI aconseja vigilar y monitorizar todas las aplicaciones y procesos de nuestros equipos regularmente, ya que esto nos ayudará a mantener cierto control sobre las actividades y el estado del mismo. Podremos ver si hay un proceso consumiendo más recursos de lo normal, y en caso de sospechar que se trata de un malware, bloquearlo y eliminarlo. Esto nos ayudará a proteger nuestros equipos.

En este artículo han colaborado con sus superpoderes los malditos y expertos en ciberseguridad Raúl Cosano, Jorge Louzao y Walter Verdejo.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.