La noticia ha circulado como la pólvora copando los titulares de prensa y llenando los noticieros de esta sorprendente última hora: varios ministros del Gobierno de España han denunciado que sus smartphones han sido hackeados, llegando incluso a bloquear el móvil.

La sombra de la duda se extiende sobre toda la población: si son capaces de acceder al móvil de un ministro en teoría, protegido por las fuerzas de seguridad del Estado: ¿qué no harán con el móvil del ciudadano a pie de calle? Este ataque ha dejado patente una vulnerabilidad que afecta a todos los usuarios de los móviles y ante la cual es muy necesario protegerse. Pero… ¿Qué ha sucedido exactamente?

El ataque: un móvil vulnerable

Aunque el hack en cuestión está siendo investigado por los Servicios de Inteligencia, las propias informaciones de los ministros revelan que los atacantes utilizaron la técnica del phishing.

Este sistema de hackeo consiste en la suplantación de la identidad de un organismo o contacto de confianza con el objetivo de engañar a la víctima y en última instancia, lograr de ella determinadas credenciales (generalmente, contraseñas y cuentas de usuario). O bien instalar malware en el dispositivo atacado.

El segundo de los escenarios es el que más preocupa al Centro Nacional de Inteligencia (CESID) puesto que, en este caso, podrían haber extraído información del teléfono, y no debemos olvidar que una de las víctimas es el ministro de Justicia, Juan Carlos Campo, ni más ni menos.

¿Sabían los hackers quiénes eran?

Según los datos que se han filtrado a la prensa, el propio ministro de Justicia declaró que tras el ataque (tuvo lugar en el mes de agosto) su móvil “quedó bloqueado”, un dato evidente que confirmaría que los hackers habrían introducir algún tipo de malware en el dispositivo.

Al parecer, este ministro recibió un mensaje aparentemente de una embajada, invitando a hacer clic en un adjunto, algo que hizo con las consecuencias que conocemos.

Otros ministros también reconocerían después haber recibido mensajes similares, pero sin llegar a hacer clic en los links o documentos adjuntos. El principal temor de los servicios de inteligencia sería que el ataque fuera dirigido en exclusiva a estos altos cargos, y no fuera obra de hackers comunes que hubieran desconocido la identidad de sus víctimas.

Cómo protegerse ante un ataque de estas características

Como hemos destacado, un ministro es un cargo considerado de “alta seguridad” y protegido en extremo por las fuerzas de seguridad, habida cuenta de la información que gestionan y almacenan en sus dispositivos. Pese a esta circunstancia, los atacantes no han tenido problema en acceder a sus dispositivos ¿Por qué?

Posiblemente porque entre los ministros, al igual que sucede con muchos ciudadanos, existe una ausencia de cultura de la seguridad: hacer clic a un link o adjunto en un móvil u otro dispositivo es como dejar la puerta de casa abierta durante la noche. Y la comparación no es exagerada.

La buena noticia es que es relativamente fácil protegerse ante este y otro tipo de ataques adoptando las siguientes medidas:

  • Estar siempre alerta. Puede parecer una obviedad, pero la práctica totalidad de los ataques se producen como consecuencia de una relajación por parte de la víctima que confía en exceso del aspecto de un mensaje o de su remitente. Hay que recordar que los principales organismos y empresas rara vez piden información por SMS y mucho menos adjuntan archivos instando a ser abiertos. La clave reside siempre en no hacer nada cuando se reciba un mensaje o email con un adjunto o link en el que se nos invita a hacer clic.
  • Verificar por otro medio. Claro, pero uno no puede vivir aislado negándose siempre a no hacer clic en nada porque siempre cabe la remota posibilidad de que el mensaje sea real. En este caso, la segunda recomendación es comprobar por otra vía con el remitente la autenticidad del mensaje; una llamada o un WhatsApp pueden ser suficientes para confirmar que se ha enviado dicho mensaje. Recientemente, recibí un mensaje de mi proveedor de servicios de internet instándome a cambiar la configuración de las cuentas de correo; como quiera que aquello despertaba algunas dudas, decidí escribir al soporte en web del proveedor y confirmar la autenticidad del mensaje. En este caso, el proveedor confirmó que era real y se extendió en detalles para mi tranquilidad. 
  • Fijarse en la URL y el mail del remitente. En los ataques mediante phishing, los hackers son unos artistas de la imitación, logrando crear correos electrónicos idénticos a los del proveedor o empresa que quieren suplantar; por este motivo, el aspecto estético y la interfaz nunca son una buena pista para confiar en el contenido. ¿Qué otro dato puede desenmascarar la estafa? Las URL a las que nos invitan a hacer clic suelen llevarnos a las webs de los atacantes, por eso es muy importante nunca hacer clic en ellas; en su lugar, podemos hacer clic con el botón derecho del ratón y copiar el link para luego pegarlo en un soporte que no tenga acceso directo a internet (bloc de notas o editor de texto, por ejemplo). En este punto podremos analizar en detalle la URL y cotejarla con el dominio de la empresa suplantada; si no coinciden, la estafa habrá quedado al descubierto. Otro tanto puede decirse del remitente de los ataques, que muchas veces son dominios ficticios que se asemejan mucho a los auténticos, pero con esta segunda verificación deberemos tener mucho cuidado porque en muchas ocasiones los ataques se producen desde cuentas hackeadas. Esto es, que el correo electrónico del remitente puede ser de una persona de confianza sin su conocimiento.

En definitiva, en materia de cyber seguridad personal es tan importante no tener miedo como no bajar la guardia en ningún momento, y siempre mantener una actitud de desconfianza ante cualquier correo electrónico o mensaje con un link o archivo adjunto. Es mejor omitirlo y asegurarse por otra vía que, por comodidad o curiosidad, hacer clic y poder ser víctima de graves consecuencias.