Los documentos que se envían a la papelera del dispositivo electrónico o a la basura física están en riesgo, como demuestra la amenaza del ‘trashing’, que rebusca en la basura del usuario para robar datos sensibles y cometer ciberestafas.
‘Trashing’ o ‘dumpster diving’ son los nombres en inglés que recibe la técnica por la que los cibercriminales obtienen información sensible de sus víctimas que recuperan del material que han descartado, como facturas, embalajes de paquetes o dispositivos electrónicos, como móviles u ordenadores.
Estos documentos y dispositivos pueden contener información sensible, como el nombre completo de la víctima, su dirección, teléfono, documento de identidad, y número de cuenta bancaria, pero también credenciales de servicios digitales. Todo ello puede utilizarse posteriormente para hacer un ciberataque, como advierte la Guardia Civil en una publicación compartida en TikTok.
En concreto, desde el Instituto Nacional de Ciberseguridad (Incibe) indican que el robo de estos datos puede dar lugar al robo de identidad de la víctima, al robo de dinero de su cuenta o incluso a la extorsión.
Básicamente, es el equivalente digital a husmear en la basura de otra persona con fines malintencionados, y en este caso, une lo físico con lo digital. Los cibercriminales aprovechan la confianza de sus víctimas, que creen que con tirar o enviar los documentos a la basura ya se han desecho de ellos.
Por ello, la Guardia Civil ha aconsejado “destruir adecuadamente” los documentos que contienen datos personales. Una forma de hacerlo es tachando los datos con un marcador permanente o recurriendo a una trituradora de papel o unas tijeras, algo que también puede usarse con las tarjetas del banco y el carnet de identidad, como indican desde Incibe.
En el caso de los dispositivos electrónicos, señalan que borrar los archivos y documentos que contienen información privada , o enviarlos a la papelera, no es suficiente, y por ello recomiendan recurrir a mecanismos seguros para su eliminación. También aconsejan utilizar una herramienta que realice un borrado seguro, que impide la recuperación de ficheros, si los dispositivos se van a tirar.
Por otra parte, una variante del malware FakeCall ha ampliado sus capacidades para no solo engañar a la víctima con llamadas fraudulentas, sino también interceptar sus propias llamadas para redirigirla a números controlados por los cibercriminales con el fin de robar sus datos sensibles, entre esos bancarios.
Los investigadores de la firma de seguridad Zimperium han advertido una variante del malware para Android conocido como FakeCall, diseñado para engañar a las víctimas mediante llamadas fraudulentas.
FakeCall es una amenaza que se distribuye principalmente mediante phishing, es decir, correos electrónicos que fingen proceder de un remitente legítimo, con los que engañan a la víctima para que descargue un archivo.
Este, una vez está en el teléfono Android, instala una carga maliciosa para conectar con un servidor de comando y control gestionado por los cibercriminales.
De esta forma, consiguen tomar el control del dispositivo, facilitando la realización de acciones en él. En el caso de la variante analizada, puede camuflar el número de una llamada fraudulenta e interceptar las llamadas que recibe o hace el usuario para redirigirlo a un número fraudulento, como informan en su blog oficial.
En ambos casos, el objetivo es engañarlo para que dé datos personas y sensibles, como el número de la tarjeta o de la cuenta bancaria o credenciales de acceso a determinados servicios digitales.
La investigación de Zimperium ha identificado 13 aplicaciones y dos archivos dex asociados con la campaña FakeCall.
*Con información de Europa Press