Reglas básicas de seguridad de sentido común

Supuesta pantalla de entrada a iCloud (falsa)

Leo, enormemente sorprendido, un artículo en la web hackernoon (podéis leerlo pulsando aquí) donde se advierte de las prácticas de algunos ladrones para conseguir quedarse con nuestro iPhone una vez lo han robado y este está bloqueado.

El caso que cuenta la web es lo normal que puede pasarnos a cualquiera: aparcamos el coche y se nos olvida el iPhone en un sitio visible. Cuando nos acordamos, volvemos y nos han roto la ventanilla para quitarnos el teléfono. Un despiste que sale caro.

Obviamente, lo primero que debemos hacer es acceder a nuestra cuenta de iCloud, al servicio “Encuentra mi iPhone” y ponerlo en modo perdido para que se bloquee y que muestre un texto por si alguien (un buen samaritano) encuentra el smartphone y quiere devolverlo.

Lo sorprendente es cuando la persona a quien le han robado el teléfono recibe un mensaje de SMS o un email de phishing que intenta hacerse con nuestros datos de iCloud, haciéndose pasar por Apple. Darse cuenta del engaño es tan simple como básico.

El resumen es simple: si nuestro terminal está bloqueado, solo nuestro usuario y contraseña de iCloud podrán desbloquearlo, desvincular el terminal y permitir que este pueda ser revendido por el ladrón o usado por otra persona. E incluso, acceder a nuestra información en caso que pudiéramos tener algo sensible que pueda ser usado para conseguir dinero.

Email falso, que parece enviado por Apple

Podríamos recibir un email como el que vemos en la imagen, que parece que viene de la propia Apple pero la trampa está en el botón “Ver localización” (See Location en inglés). Si podemos el ratón encima veremos que apunta (en ese caso concreto) a una web llamada show-iphone-location.com que nada tiene que ver con Apple.

En esta web, se nos muestra una pantalla como la que vemos al comienzo del artículo y pensamos que es iCloud. Y si metemos nuestros datos, se acabó: ya se han hecho con lo que querían. ¿Cómo detectar entonces el problema?

Con algo básico que TODO el mundo debería saber: esa educación que todos deberíamos recibir antes de sentarnos ante un dispositivo electrónico para conocer los riesgos que tenemos por movernos en una red mundial llena de trampas. Observen la siguiente página:

La verdadera página de iCloud y la información de firma de su certificado

Cuando accedamos a una web que diga ser iCloud hay una cosa que nunca podrá falsificar: el certificado SSL. ¿Vemos en la parte superior el candado que dice Apple Inc.? Eso certifica que esa página es de Apple. Pero si queremos asegurarnos aun más (que no está de más) podemos ver que la web dice claramente que Symantec (propietaria de Verisign, una de las autoridades certificadoras más importantes del mundo) ha identificado www.icloud.com como propiedad de Apple Inc. en Cupertino, California US.

Y si desplegamos en Detalles, veremos aun más información que nos certifica que esa página es, efectivamente, icloud.com y no otra. Eso es esencial. Es la base más básica de todo trabajo en la red en cuanto a seguridad. Saber qué es un certificado y cómo comprobar, por nosotros mismos de una forma simple, que estamos en la página que es y no en otra.

Google, Dropbox, Microsoft… todos los grandes servicios, más cuando piden autenticación, todos usan certificados SSL que basta pinchar en la parte superior para comprobar que estamos en la web real.

Si estamos en Safari, pulsamos en el candado. Si es Firefox en la pequeña barrita a la izquierda de la web donde hay otro candado. Si es Chrome, también en el candado a la izquierda. Y si no hay candado, peor, porque ni siquiera tendremos una transmisión cifrada y nuestro usuario y contraseña viajarían por la web (si caemos en la trampa) como texto simple que cualquiera a su paso podría capturar.

Algo básico que hemos de aprender desde el primer momento que nos sentemos ante un dispositivo con conexión a internet y que deberíamos enseñar a nuestros hijos, abuelos, maridos, esposas… todo el mundo. La regla más básica de la seguridad en internet: comprobar que la web en la que estamos es realmente la que dice ser.

Puede que tal vez accedamos a Gmail y veamos que estamos conectados a mail.google.com. En este caso es un subdominio y lo que debe importarnos es que lo que haya antes del .com sea google y no otra cosa.

Podríamos encontrarnos con una web que simule ser Gmail a la perfección (en apariencia), a partir de un email que hemos recibido con algún tipo de alerta y ver que la dirección (que incluso podría tener un certificado válido) sería (por ejemplo) mail.google.com.security.ddh.com. En dicho caso, la página a la que estamos conectando no tiene nada que ver con Google porque es ddh.com, la cual no es nada. No están intentando timar. Da igual lo que ponga en la dirección, solo nos importa lo último: ddh.com. Y eso no es un dominio de google.

Si tenemos presente esta regla básica de comprobación, que podemos hacer nosotros mismos, os garantizo que nunca caeréis en la trampa.