Ataques

El ciberataque que intentó engañar a los conductores de Nueva York

Los neoyorkinos han tenido que esquivar un crackeo que buscaba conseguir sus datos personales mediante phishing. Este caso es muy similar a uno que hemos visto en España de forma recurrente.

Imagen de un cruce de calles en la ciudad de Nueva York, con varios vehículos detenidos en él, entre ellos, dos de sus famosos taxis amarillos
Foto: Piqsels.

Unos estafadores han intentado engañar a los conductores de Nueva York para robarles datos personales. El ciberataque se ejecutó durante el pasado mes de diciembre a través de mensajes de texto, en los que los atacantes se hacían pasar por el Departamento de Vehículos Motorizados del Estado de Nueva York -DMV, el equivalente neoyorkino a la DGT-.

Phishing contra los conductores

Nos encontramos ante un ciberataque del tipo phishing.

Estos casos se caracterizan porque los crackers envían mensajes -que pueden ser de texto o correos electrónicos- suplantando a organismos oficiales. Ese ente suplantado puede ser tanto una institución como una empresa.

A través de esas comunicaciones, los ciberdelincuentes pueden pedirle a su víctima que facilite información privada o que descargue un archivo -que suele contener malware-. El objetivo es que sus víctimas crean que están leyendo una comunicación oficial, por lo que se confiarán y será más probable entreguen esos datos.

En el caso que afectó a Nueva York, los conductores recibieron un total de tres mensajes en los que se les pedía que actualizasen sus licencias de conducir, según recoge Security Intelligence.

El primero instaba al conductor a «actualizar su contacto a los acuerdos de regulación de cumplimiento». El siguiente mensaje era más concreto, ya que pedía al destinatario que modificase su información de correo y contacto con la excusa de que era necesario para cumplir con unas nuevas leyes de identificación. Algo similar rezaba la última comunicación: «Debido a la actualización sobre nuestro nuevo cumplimiento de la normativa, el titular de la licencia de conducir debe actualizar su contacto».

Un enlace dirigía a los receptores a un sitio web falso, diseñado para que aquellos que picasen dejasen la información solicitada

Todos esos mensajes incluían un enlace que dirigía a los receptores a un sitio web falso del DMV, diseñado para que aquellos que picasen dejasen la información solicitada. Así era como los ciberdelincuentes se hacían con los datos personales.

No es la primera vez que los neoyorkinos se enfrentan al phishing. En octubre del 2020 tuvieron que lidiar con un caso muy similar que también afectó al DMV. Lo que pasó entonces fue que los mensajes dirigían a otra falsa web del DMV en el que las víctimas podían perder sus datos personales o descargarse malware.

En España también ocurrió algo parecido

Pero estos sucesos no son exclusivos del DMV de Nueva York. El phishing es una estafa muy habitual, tanto que, en España, la Dirección General Tráfico sufrió un caso muy similar.

La DGT fue suplantada de forma recurrente durante todo el 2020 en varias campañas de correo electrónico. Los crackers se hicieron pasar por la institución de tráfico para reclamar el pago una multa. Y adjuntaban un enlace para que la víctima accediera a la notificación.

Una vez dentro de la página web, se muestraba un formulario donde ingresar el DNI, la dirección de email, el número de cuenta bancaria y una ventana de inicio de sesión de Google, Microsoft o Yahoo!. Toda esa información pasaría a los ciberdelincuentes detrás de este ataque en caso de ser rellenada.

Tanto el phishing que afectó al DMV como a la DGT tenían en sus mensajes algunas pistas con las que identificar la estafa

Cómo identificar el phishing

Tanto el phishing que afectó al DMV como a la DGT tenían en sus mensajes algunas pistas con las que identificar la estafa. Tanto en el caso estadounidense como el español, los textos tenían errores importantes, como faltas de ortografía o una deficiente redacción. Es muy difícil que un mensaje auténtico de un organismo oficial incluya semejantes fallos.

Pero no es la única clave con la que podemos identificar un mensaje de phishing. Alejandro Aliaga, experto en la gestión de la seguridad, ofrece estas otras para no caer en la trampa:

  • Si el correo que hemos recibido contiene una dirección web, debemos fijarnos muy bien en la URL a la que nos remite el enlace. Para ello hay que pasar el ratón por encima del enlace para que se muestre en la barra de mensajes de nuestra aplicación. Muchas veces, los ciberdelincuentes utilizarán técnicas que harán que esas direcciones URL se diferencien muy poco de las direcciones originales. Hay que buscar alteraciones de mayúsculas y/o minúsculas, puntos situados en un lugar poco visible, todo lo que puedan para tratar de confundir al usuario.
  • Otro de los puntos en los que nos tenemos que fijar es cómo está escrito el correo. Si bien los ciberdelincuentes cada vez se esmeran más en mejorar la ortografía, en muchas ocasiones estas campañas se lanzan a nivel mundial y los correos son traducidos mediante el uso de traductores automáticos, por lo que pueden contener errores gramaticales o formas de expresarse poco comunes para los hablantes nativos.
  • Muchos de estos correos electrónicos engañosos contienen ficheros adjuntos. Desconfía siempre de los archivos que puedan adjuntar los correos sospechosos. Solo debes abrir el adjunto si estás muy seguro de que el correo es legítimo, pero, antes, intenta que sea escaneado por alguna solución antivirus.
  • Pero, sobre todo, en estos momentos de confusión, y ante la avalancha de noticias, apliquemos el sentido común, y agudicemos nuestros sentidos para estar alerta. En cualquier caso, consulta siempre fuentes de información oficiales en redes sociales, así como perfiles de la Policía Nacional y Guardia Civil, que siempre nos ayudarán a detectar esos bulos y correos maliciosos.

He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.