Un agente de los Mossos d'Esquadra / EP

Un agente de los Mossos d'Esquadra / EP

Vida tecky

Alerta por una campaña de 'phishing' contra los agentes de Mossos d'Esquadra

Los funcionarios reciben correos trampa que suplantan los servicios administrativos del cuerpo policial para robar sus datos personales

9 junio, 2022 00:00

"Os recomendamos que descarguéis vuestro nuevo ajuste de nóminas para junio de 2022". Este mensaje forma parte de una campaña de phishing para robar datos personales lanzada específicamente contra los agentes de Mossos d'Esquadra. En un email al que ha accedido Crónica Global, enviado la semana pasada a un funcionario del cuerpo policial, se observa el modus operandi de un intento de suplantación que, en esta ocasión, se ha vuelto contra los encargados de perseguir estos delitos.

Pese a que la dirección del remitente puede levantar la sospecha --el emisario se hace llamar Sivenathi Mkiva--, fuentes consultadas por este medio resaltan el aspecto aparentemente creíble de la comunicación. El cuerpo del texto está escrito en un catalán correcto desde el punto de vista ortográfico y gramatical, en un estilo sucinto y con un llamativo asunto: "Nuevo ajuste de nómina". El objetivo del escrito es suplantar la sección de cuentas de Interior para usurpar información personal de las víctimas.

Uno de los correos de la campaña de 'phishing' contra agentes de los Mossos d'Esquadra

Uno de los correos de la campaña de 'phishing' contra agentes de los Mossos d'Esquadra

La nómina como 'gancho'

Más allá de este gancho, que pretende impactar al destinatario para que revise su sueldo, el correo redirige hasta una URL que imita, a su vez, la intranet de acceso de la Generalitat de Cataluña. La razón aducida es la siguiente: "Vuestra nueva nómina se ha adjustado y a punto para ser consultada a través de nuestro sitio web en https://correu.gencat.cat/owa".

"Es rápido, seguro y sencillo de utilizar. Por motivos de seguridad y privacidad, la protección con contraseña se incorpora en el documento adjunto", reza el texto. Este medio ha intentado recabar el posicionamiento de la Consejería de Interior sobre este episodio, pero no ha obtenido respuesta por motivos de seguridad interna. La campaña podría seguir activa y se habría iniciado la semana pasada contra un número indeterminado de agentes.

Ataques baratos...

Este tipo de asaltos informáticos, tal y como señalan los especialistas, siguen siendo muy utilizados. También contra el sector público. "Se siguen usando mucho. Los ataques que recibe la Administración pública son idénticos a los enviados contra empresas privadas o particulares", recuerda Jordi Serra, profesor de la Universitat Oberta de Catalunya (UOC). Incluso en el caso de los ransomware, remarca el docente, el vector de entrada para cifrar los archivos de una organización suele ser un mail fraudulento.

Máxime cuando no son fáciles de diseñar: "No solo es una técnica de grandes bandas. Los métodos para crear un phishing son sencillos y están al alcance de prácticamente cualquiera", advierte la especialista de Plexus TechCristina Collado. Y añade que con el tiempo se han vuelto más complejos. "Las técnicas de los ciberdelincuentes evolucionan de forma constante, existen muchas estafas relacionadas con el phishing, una de las últimas ha sido la conocida como estafa del CEO en que se intenta suplantar el papel del responsable directivo".

... y teledirigidos

Pero lo que distingue este método no es tanto la diana hacia la que apuntan los ciberdelincuentes o su grado de sofisticación, sino el carácter generalista o específico de las incursiones --lo que en el segundo supuesto se conoce como spear phishing en la jerga del sector-- .

"En el caso de un phishing masivo se buscan temáticas relacionadas con aquello que es noticia o común en un contexto determinado: recepción de paquetes, operaciones bancarias, la campaña de la renta... para intentar que la temática apele a la mayoría de personas que reciban el mensaje. Pero estos ataques tienen un porcentaje de éxito menor que aquellos dirigidos contra organizaciones o empresas que han sido objeto de un estudio previo", explica Laia Garcia Padró, especialista en ciberseguridad en la empresa Ackcent.

Ataque de 'phishing' / PIXABAY

Ataque de 'phishing' / PIXABAY

Recomendaciones básicas

La experta señala que incluso se puede practicar el spoofing, una técnica para suplantar la dirección de un correo electrónico para generar un marco de confianza aún mayor en la víctima potencial. Ante esta situación, Garcia Padró enumera una serie de consejos básicos para reducir la amenaza de estos ciberataques. "Ser consciente de que no te puedes fiar al 100% del remitente, revisar los enlaces antes de clicar y comprobar que no haya ningún contenido que nos active emocionalmente para actuar rápido. Ante todo, hay que gestionar el correo sin tantas prisas", indica. 

Según datos de la tecnológica ESTE, España es el país del mundo que registra más ciberdelitos. El último informe de la compañía revela que los phishings y los troyanos se posicionan en cabeza del ránking. En las últimas semanas se ha conocido que instituciones públicas como el Ayuntamiento de Barcelona y el de Palma han sido timadas a través de este procedimiento. Los últimos que han sido objetivo de esta estafa han sido los propios mossos.