Ataques de 'phishing' en "punta de lanza" amenazan al sector turístico

A esta práctica delictiva se le ha dado en llamar, en la jerga que se emplea en ciberseguridad, 'spear phishing' -'spear' significa 'punta de lanza'- y se distinguen por una veracidad mucho mayor. A modo de ejemplo, una de estas acciones motivó que el pasado 3 de febrero Ifema Madrid lanzase una alerta a empresas desde su departamento de Atención al Cliente sobre un directorio de ferias que realiza cobros indebidos a usuarios haciéndose pasar por esa entidad.

© Sora Shimazaki

"Debido a la gran cantidad de solicitudes de información recibidas de nuestros expositores sobre la contratación por error de unos servicios publicitarios con el directorio internacional de expositores de ferias actualmente denominado “INTERNATIONAL FAIRS DIRECTORY” - antes “EVENT FAIR EXHIBITORS INDEX”, “FAIR EXPO GLOBAL BUSINESS EXPOSURE”,“FAIR GUIDE”, “EXPO GUIDE”, “EVENT FAIR THE EXHIBITORS INDEX”, IFEMA MADRID informa a sus expositores que no tiene vinculación alguna con este directorio ni con las empresas que lo comercializan", ha declarado la institución ferial en la nota.

Según ha precisado Ferretjans se trata de un caso de 'spear phishing' porque "van a un tipo de víctima muy concreto", es decir, son "ataques dirigidos" -y esta es la clave de todo el asunto- ya que "estudian más a la víctima o grupos de víctimas. Saben a quién le mandan el mail", ha incidido. "Lo interesante es saber cómo consiguen el listado de asistentes", se pregunta.

"Probablemente hay un ataque previo a la propia feria o a la agencia que la organiza" para conseguir los listados que emplearán en su segundo ataque de punta de lanza

El experto recuerda que "en 2019 ya hubo una alerta en Reino Unido sobre esto y justamente hablaba de The Inter Fairs. El de ahora es muy posible que sea un nuevo ataque de este tipo de phishing, lo que hacen es lanzar las campañas y luego dormirlas para reactivarlas más adelante". Y, si les funciona, siguen haciéndolo indefinidamente.

Y, desde luego, este debe ser el caso, porque HOSTELTUR viene informando sobre las actividades de este directorio internacional de expositores fraudulento desde 2016. Y además en términos muy similares a los que ahora ha divulgado Ifema, aunque entonces la denuncia llegó desde la Feria Internacional de Turismo de América Latina (FIT), que en aquel momento fue la suplantada.

Pero, ¿qué es y cómo actúa esta entidad delictiva? Según Ifema, "es una guía o base de datos comercializada por empresas radicadas en diferentes países que comercializan sus espacios publicitarios a todos los expositores de las ferias que consideran relevantes de todo el mundo", y a continuación cita una serie de compañías radicadas en países como Uruguay, Eslovaquia, México y Costa Rica.

Formulario engañoso

El procedimiento de International Fairs Directory es el envío a la empresa expositora de una carta acompañada de un formulario parcialmente cumplimentado, en el que se reflejan la feria y edición en que ha participado, el organizador y los datos de la empresa expositora, que ya vienen cumplimentados en parte en el formulario y publicados en el directorio en un espacio 'sin coste'.

En la misiva se invita a la actualización de los datos remitiendo el formulario cumplimentado en el sobre respuesta adjunto contratando en ese caso por una duración inicial de tres años con prórrogas tácitas al precio indicado en el mismo, aunque sin lugar para indicar una domiciliación bancaria. Al pie del formulario figura la entidad contratante, el coste del servicio, la jurisdicción competente y el sistema de prórrogas tácitas establecido en el mismo.

La cumplimentación, firma y envío del formulario supone, por tanto, la contratación del servicio: “Este formulario sirve solo para la correcta inserción de sus datos en forma de un anuncio publicitario individual con costo”

Y a veces pican, aunque sea al despiste. Como le pasó a Óscar Martínez, gerente de una agencia receptiva de Castilla y León que fue víctima del fraude y, de hecho, "lo hemos pasado a nuestros servicios jurídicos, pero al estar ubicada esta empresa en Costa Rica no es efectiva ninguna medida para denunciarla", lo cual, considera "lamentable", porque anticipa que "debe haber muchas empresas que han caído" en el engaño.

Atacan sobre todo a pymes

Una pyme como la de este agente de viajes es actualmente un objetivo ideal para los ciberdelincuentes que realizan 'spear phishing': "hay una percepción general de que ese tipo de ataques van dirigidos a las grandes empresas, pero nada más lejos de la realidad. Los ataques van muy dirigidos a pymes, porque son tremendamente vulnerables al no disponer de medios suficientes", ha detallado Xavier Ferretjans.

Entonces, ¿qué se puede hacer en estos casos? "Aconsejo formación y concienciación. Porque los ataques están tan dirigidos que, incluso yo puedo caer si estoy en un momento de estrés hasta arriba de trabajo. Todos podemos caer en un momento determinado. Hay que observar los cambios, como la forma de contactar, fuentes que puedan resultar dudosas...", recomienda el experto de Binaura Monlex.

"Linkedin se está utilizando mucho para atacar, porque las empresas no se dan cuenta pero vuelcan mucha información"

Toda esta precisión de los ciberatacantes se debe al empleo de la llamada "ingeniería social", que supone dominar el arte del engaño a las personas. "En realidad es muy viejo, prácticamente de los primeros hackers, pero ahora está muy de moda" emplearla. Porque se trata de hacer pensar a la víctima que está respondiendo a un requerimiento de una fuente a priori fiable, como Ifema. Pero no.

Suplantación del proveedor

Una de las últimas tácticas que están sufriendo las empresas del sector turístico es la suplantación del proveedor: "Sacan la factura al vuelo, cambian el código de cuenta bancaria, pagas a esa cuenta y olvídate de ese dinero". Y "no hay antivirus que lo pare, porque de hecho es un correo legítimo". Luego, "las empresas llaman al proveedor preguntándole si ha cambiado de cuenta, y claro que no", sentencia Ferretjans.

¿Se puede frenar todo esto de algún modo? Pues no."Los atacantes van muy por delante de los sistemas de protección que tenemos ahora", y de hecho "se detiene a muy pocos ciberdelincuentes", ha admitido. "A veces la Unidad de Delitos Telemáticos de la Guardia Civil o la Policía Nacional rastrean las cuentas que han recibido el pago", para encontrar una identidad falsa y ningún dinero ingresado. Voló.

Más informaciones relacionadas con phishing:

- Ciberseguridad en días de teletrabajo: atentos al phishing

- ¿Están preparados los hoteles para hacer frente a la ciberdelincuencia?

- Booking.com indemniza a miles de clientes víctimas de phishing

- Marriott advierte que circula un mail fraudulento en nombre de la cadena

Sin embargo, en el caso de International Fairs Directory sí hay alguien al otro lado, aunque no se sabe dónde. Cuando se les reclama por mail resulta que responden: "intimidan de todas las maneras, te dicen que lo pondrán en conocimiento de sus abogados", ha indicado Óscar Martínez. Es decir, que pretenden que la empresa siga pagando esos servicios publicitarios que ha abonado en base al empleo de técnicas de 'spear phishing'.

Efectivamente, "si mandas un correo contestan, así que son ataques dirigidos, no son robots", corrobora Ferretjans. Por eso es 'phishing' en punta de lanza, ya no se trata de mails mal escritos y de procedencia claramente dudosa que son fáciles de identificar como engaño. Ahora son mucho más persuasivos, estafas sutiles fruto de la aplicación de esa ingeniería social.