Cuidado con los evil twins

IMAGE: OpenAI's DALL·E, via ChatGPT

La detención de un ciberdelincuente este verano en la terminal de un aeropuerto en Australia mientras llevaba a cabo los llamados evil twin attacks para capturar contraseñas de redes sociales, claves de correo y de otros servicios online ha disparado las alarmas sobre el incremento en este tipo de actuaciones, cuyo mecanismo de actuación no es especialmente conocido por muchos usuarios.

El procedimiento es sencillo: un delincuente utiliza un ordenador u otro dispositivo para crear, en un lugar público como una estación de tren, un aeropuerto o un hotel, una red WiFi con el mismo nombre que la red pública existente con alguna pequeña variación, a veces con palabras como free o guest añadidas al nombre, espera a que alguien se conecte a ella, y captura datos del usuario cuando intenta conectarse a su correo electrónico o a otros servicios.

En ocasiones, el ciberdelincuente clona el portal de conexión de una WiFi oficial, y aprovecha para que cualquier dispositivo que haya memorizado esa red se conecte automáticamente a ella, e introduzca alguna contraseña. Dado que la cultura de ciberseguridad es aún una gran desconocida para muchos y que aún es habitual para numerosos usuarios utilizar la misma contraseña en varios servicios, basta en ocasiones con capturar un identificador y una contraseña para que, al probarlos en otros servicios habituales, surjan oportunidades para separar a algunos incautos de su dinero.

La forma de evitar los evil twin attacks es, en primer lugar, evitar ese tipo de redes compartidas y optando en su lugar por conexiones a redes telefónicas a través del smartphone. Si a pesar de todo uno necesita conectarse a una red pública, la recomendación general es, en primer lugar, que nos fijemos muy bien en su nombre y características, que eliminemos la contraseña tras haberla utilizado para evitar que pueda ser aprovechada por alguien que, posteriormente, clone ese portal de acceso, y que evitemos, en la medida de lo posible, llevar a cabo operaciones especialmente sensibles, como puede ser una conexión a nuestro banco o a algún otro tipo de operador financiero. Y por supuesto, como solución ideal, el uso de una red privada virtual (VPN) que cifre todo el tráfico que sale de nuestro ordenador y, por lo tanto, impida que si caemos en una red dedicada a espiar lo que hacemos, solo pueda capturar tráfico completamente cifrado.

La mejor forma de elegir una VPN es sabiendo que mantenerla es algo que cuesta dinero, y que por tanto, suele ser mejor evitar las gratuitas, que para asegurar su sostenibilidad suelen entrar en algún tipo de acuerdos de venta de nuestros datos y hábitos. El artículo que me parece más recomendable para elegir una VPN es que que todos los años publica  Ernesto Van der Sar en TorrentFreak titulado «Which VPN providers really take privacy seriously?«, en el que analiza únicamente redes privadas virtuales con política de no logging, es decir, que no almacenan registro alguno sobre la actividad de sus usuarios, y no porque vayamos a dedicarnos a hacer nada ilegal, sino porque es la verdadera garantía de que nuestros datos no llegan a ningún sitio más que a donde deben legítimamente llegar.

Si habitualmente tienes que utilizar redes WiFi en lugares públicos, ten en cuenta estos consejos, y trata de aplicar alguna de las precauciones correspondientes. Los ciberdelincuentes se sofistican cada vez más, y la operativa de este tipo de evil twin attacks es relativamente fácil y accesible para ellos, con un potencial interesante para hacerse con datos sensibles que puedan ser explotados o vendidos posteriormente.

Todos podemos llegar a caer en algún momento en algún tipo de ataque. Pero por lo menos, no lo pongamos fácil.


This article is also available in English on my Medium page, «Watch out for the evil twins when you’re out and about«

25 comentarios

  • #001
    Gorki - 30 septiembre 2024 - 10:42

    Considero que tener en un dispositivo ligado a Internet, las claves y códigos de acceso a cuentas bancarias es muy peligroso.

    Comprendo que es cómodo. pero al menos, abre dos cuentas, una como un billetero con muy poco saldo, para los pequeños pagos con Bizun, pagos de compras on-line y cosas semejantes y una cuenta que solo se pueda acceder en una sucursal bancaria o al menos un cajero bancario, con el grueso de tus ahorros.

    Que si te roban, sea al menos en una cuenta con un saldo bajo.

    • Javier Cuchí - 30 septiembre 2024 - 12:01

      Si no se hace el burro, la banca por web es hoy bastante segura. Yo llevo 20 años trabajando con ING como banco único (si no contamos una cuenta como la que tú dices, para pagos de riesgo) y mi mujer lleva también otros 10 con ellos. Los únicos problemas que hemos tenido es que a mí me plancharon la tarjeta de crédito en una gasolinera y a mi esposa lo propio no sabemos dónde ni cómo. En 15 días, cargo retornado.

      Pero atentos a la salvedad inicial: si no se hace el buro

  • #003
    Javier Cuchí - 30 septiembre 2024 - 11:55

    Yo comprendo -y lamento muchísimo- que los jóvenes (y muchos no tan jóvenes) tienen dificultades económicas graves y que, por tanto, les duela contratar una línea de móvil con tarifa de datos ilimitados, aunque a mí no me parece tan cara la diferencia (quizá porque soy un burgués privilegiao y demás cagarela ad usum). Pero los veo correr por ahí, de un lado a otro, en busca de wifi gratis, preguntando contraseñas y demás, y me ponen nervioso (bueno, hasta cierto punto: allá cada cual con sus ineptitudes).

    Cuando salgo de casa, voy siempre con el móvil (wifi desconectado) y la tableta y cuando necesito actuar en una web compleja (el móvil ya no sirve y de ahí la tableta), utilizo el móvil como router y trabajo sobre la tableta. Jamás me conecto en una wifi pública; ni siquiera en una semiprivada (entidades asociativas a las que pertenezco y que tienen wifi sólo para uso de los socios, por ejemplo).

    Aparte, claro, del uso de VPN ya en todos mis aparatos (y que, con paciencia y tesón, voy implantando en todos los de los demás miembros de la familia).

    • Gorki - 30 septiembre 2024 - 13:15

      Actualmente cualquier contrato de línea móvil tiene asociado el uso de bastantes Gigas, de forma que por ejemplo, en vacaciones utilizo el movil como moden de mi PC y solo si estoy mas de 15 días fuera de casa, tengo falta de Gigas y lo utilizo bastante, posiblemente si utilizara el Pc normalmente tendría mas que suficiente.

  • #005
    Chipiron - 30 septiembre 2024 - 12:52

    Muy interesante el enlace, el de que vpn escoger. Gracias.

  • #006
    Gorki - 30 septiembre 2024 - 13:18

    ¿Qué cuesta al mes un VPN de confianza?

    • Enrique Dans - 30 septiembre 2024 - 13:24

      Yo por ExpressVPN pago unos ocho euros al mes, en pago anual…

      • Chipiron - 30 septiembre 2024 - 13:28

        Prefieres ExpresVPN a NordVPN?

        Tenía entendido (equivocado o no), que el punto fuerte de ExpresVPN era la velocidad, y que la de NordVPN, a parte de una velocidad razonable, tenia la sede en Panamá, lejos de los «5 ojos»..

      • Gorki - 30 septiembre 2024 - 14:30

        Hay la posibilidad de crear un proveedor de servicio que te de de forma standard un VPN. ¿Como es que no ha aparecido ninguno?

        Imagino un proveedor de Internet que te diera los siguientes servicios
        1,. VPN para anonimizarte
        2. Programa que «autoriza»automáticamente el uso de cookies
        3. Programa que cambia los datos personales de las de las cookies por otros aleatorios
        4. Elimina la publicidad molesta.
        5. Cortafuegos y protección contra malware .

        ¿Cuanto pagarías de plus al mes por este servicio? ¿Se anima alguien a montarlo?

        • Percebe - 30 septiembre 2024 - 20:21

          Aquí quizás se puede aplicar lo de «piensa mal y acertarás»: como sabes que los proveedores de Internet no filtran o almacenan el trafico de sus clientes.?

          El filtraje Dns hace años que lo aplican, por ejemplo. Pero todo esto se cae – en principio – si se usa una VPN. Ergo, no les debe interesar demasiado.

          • Chipiron - 1 octubre 2024 - 09:58

            Me gusta tu Nick. Lo digo en serio ;-)

      • El hombre que ríe - 1 octubre 2024 - 07:57

        Recomiendo adquirir un router que tenga OpenVPN, el beneficio de una vpn que tu administras y controlas desde tu propio router supera a los vpn comerciales, que además operan únicamente en ipv4 mientras las líneas residenciales ya tienen ipv6.
        Este tipo de routers tienen otros beneficios, como adblock desde el mismo que también se aplica en una vpn personal

    • Javier Cuchí - 30 septiembre 2024 - 20:13

      Tienes Proton VPN. Es gratuito, radicado en Suiza y garantizan el total anonimato de tus datos a cualquier efecto. Sostienen que como la privacidad es un derecho universal, no se debe restringir su acceso a nadie por razones económicas. Si pagas, además de tener mayor velocidad y una montonada de servidores, colaboras -propuesta ética- a que esa gratuidad sea posible. Ahora mismo hay una oferta de 4,40 euros mensuales pero, eso sí, te tienes que comprometer por dos años y pagar por adelantado. No dicen qué pasará transcurridos esos dos años. Su precio sin oferta es de 9,90 euros al mes, pero no me he fijado si se paga mes a mes o también por años adelantados

      • Chipiron - 1 octubre 2024 - 08:37

        Hola Javier. Yo utilizo proton para el email y a veces me he planteado usar su VPN.

        Pero como por ahora tengo un plan de 2 años con NordVPN, lógicamente no voy a cambiar hasta que venza el plazo.

        Pero si tu tienes experiencia en el uso de Proton VPN (sobre todo la velocidad y la disponibilidad de servidores en medio mundo) está muy bien que lo expongas, para mi es una opción seria.

  • #015
    BUZZWORD - 30 septiembre 2024 - 14:48

    La realidad es que para acceder a tu banco lo mejor no es pasar por una VPN, ¿por? porque es un tercero que no aporta valor a tu conexión. Y nunca puedes estar seguro si estas loggeado o no…

    Las VPN que son confiables son las de tu propia empresa que ponen un tunel entre tu IP y la de la empresa, por tanto nadie ajeno te interfiere. Pero si mandas un correo en abierto de la empresa a un cliente ( o a gmail) ya tienes un agujero.

    La funcionalidad de una VPN de pago son saltarte las limitaciones que tienes en tu pais, por ejemplo webs torrrent cerradas, o si estas en una dictadura con limitación real de acceso a internet poder salir a internet (China, Rusia).

    Claro que en China Apple no te lo pone fácil ya que ha bloqueado apps de VPNs para contentar a Putin…

    https://elpais.com/tecnologia/2024-09-30/apple-borra-en-silencio-casi-un-centenar-de-vpn-que-permitian-a-los-rusos-eludir-la-censura.html

    VPN y bancos

    Es de sentido común, pero ya que no es el más común de los sentidos:

    https://www.reddit.com/r/MexicoFinanciero/comments/v68c4u/es_seguro_usar_vpn_para_apps_de_bancos/

    Por otro lado los bancos tienen una política antifraude basada en la geoposición de tu IP, y si accedes desde un servidor en Alemania, otro en EEUU, otro en RU, saltará una alerta en el banco de movimientos sospechosos, ya que no es tu ubicación original, de hecho muchas tarjetas se bloquean cuando se usan fuera de la UE…

    Por supuesto, que a ningún «gilipollas» en grado sumo, se le ocurra entrar en el banco con TOR…

    Ya sabemos que las operaciones en las VPN están encriptadas y todo ese rollo, para acceder al banco el resumen sería:

    Workflows para trolls listo del blog:

    a) Protege tu WIFI con acceso limitado encriptado y capa direcciones MAC externas. No compartas tus claves wifi con «amigos» del alma, sobre todo si te dan técnicamente sopas con ondas
    No compartas claves por correos, whatsapp…
    b) Limitar el acceso fuera de tu WIFI, solo usa si es absolutamente necesario 4G/5G.
    c) Nunca entres en una WIFI pública, date con 2 piedras en los testículos antes de entrar, pero bien fuerte… eso te quitará el vicio de wifi libre
    d) Si a pesar de todo accedes, en ese caso, entra con una VPN, y reza lo que sepas.

    • BUZZWORD - 30 septiembre 2024 - 14:59

      errata: donde pone
      «Claro que en China Apple …»

      debería poner
      «Claro que en Rusia Apple …»

      Además:

      Gorki:

      https://www.movistar.es/mas-servicios/conexion-segura/

      El servicio de red, existe en Movistar

      • Gorki - 30 septiembre 2024 - 18:24

        Gracias la primera noticia. Me daré una vuelta

        • BUZZWORD - 30 septiembre 2024 - 19:11

          De nada

          Es un servicio que lleva más de 10
          años, pero es poco conocido. Creo que antes se llama antivirus en red.

          Por cierto lo de las VPN con tu proveedor no tiene sentido(*), pero si puedes crear tu servidor VPN en casa, y dejarlo corriendo, y cuando estas fuera conectarte a él. Por ejemplo:

          https://www.redeszone.net/tutoriales/vpn/openvpn-instalacion-configuracion/

          Así si que puedes estar seguro 100% que no hay terceros fisgando, aunque te conectes en una red no segura, …

          Los pasos son:

          a) Montas un servidor VPN en casa, lo activas.
          b) Te vas a una WIFI distinta, o haces pruebas con el móvil sin wifi,

          c) Te conectas a la VPN de tu casa, levantas un tunel y todo el trafico está dentro del tunel. Nadie puede ver tu tráfico, ese tráfico se enrruta por la Telefonica de casa

          (*) Las VPN como las que cita Enrique si tienen sentido para conectarte como si estuvieras en el extranjero… por ejemplo a una tele y saltarte el bloqueo geográfico.

          • Enrique Dans - 30 septiembre 2024 - 19:39

            O para escribir en WordPress o en Medium desde China, o para ver si tu página funciona para tus alumnos en Arabia, para conectarte con seguridad cuando estás en un hotel, para abrirte una cuenta y usarla en un servicio que todavía no está en España o en Europa, o para conectarte desde tu empresa y que nadie sepa a donde te conectas, etc. Yo la verdad es que la utilizo un montón.

            Pero sí, para ver Netflix desde cualquier sitio también vale…

            • BUZZWORD - 30 septiembre 2024 - 19:55

              Eso es.

              Mi unico pero es desde España (para el banco), es más seguro el móvil sin wifi.

              Una VPN gratuita como la de Proton se puede usar, desde el extranjero, con una confianza similar a la de pago… pero creo que está limitada de servidores a Holanda, y la de móvil a 500Mb, si se va a usar más a menudo, parece más lógico usar una de pago.

              Y si te gusta cacharrear tampoco es mala solución dejar el servidor en España levantado (también te digo, en una situación como la que indicas eligiría la de pago)

              Yo he usado desde España esta de Proton para sortear algunos bloqueos, solo el rato que necesito…

              Lo bueno es tener alternativas, y conocer donde no usarlas

  • #021
    Mauricio - 1 octubre 2024 - 02:29

    Entiendo que para evitar conectarnos por error a una red wi-fi fraudulenta lo mejor sería que nuestro smartphone tuviera contratada una conexión de datos. Al haber sido eliminados en 2017 los cargos por roaming en la Unión Europea, resulta posible utilizar dicha conexión en buena parte de Europa. Pero, ¿qué sucede con la gente que viaja, por ejemplo, de España hacia el Reino Unido o Estados Unidos? ¿Vale la pena en esos casos utilizar servicios como Holafly o WorldSIM o es una mala idea? ¿Alguien tiene alguna experiencia al respecto?

    • Enrique Dans - 1 octubre 2024 - 08:57

      Yo llevo tiempo utilizando Airalo, un servicio de eSIM, y estoy encantado. Lo he usado en México, Corea del Sur, Emiratos y Saudi sin problemas, y me ha salido muy bien de precio con respecto a lo que pagaba antes llevando una MiFi (y sensiblemente más cómodo).

      • Mauricio - 1 octubre 2024 - 23:18

        Muchas gracias, Enrique, por tu respuesta.

  • #024
    Antonio - 1 octubre 2024 - 16:43

    Una pregunta un poco basica pero, no protege el https de todo esto?
    Es decir, antes de enviar cualquier credencial he tenido que recibir el certificado del la web en cuestion y lo he validado. El evil twin puede espiar mi comunicacion pero no puede falsificar o enviarme su propio certificado. A partir de ahi el canal con mi banco sera seguro aunque la red no lo sea.
    Para protegerse en este caso lo unico que tenemos que asegurarnos es de conectarnos siempre por https.
    Que estoy pasando por alto?

  • #025
    Bernardo - 2 octubre 2024 - 20:09

    Trabajé en el sector tecnológico durante algunos años, compartiendo con los ingenieros del área de seguridad, en ese momento. Es imposible no ponerse de los nervios cuando veo a gente conectándose sin más a cuanta red «gratuita» se va encontrando. Presencié algunas actividades «lúdicas» que hacían los chicos de software en la red de la empresa, moraleja, evitar las redes públicas gratuitas bajo todo punto de vista y las laborales para asuntos sensibles.

Dejar un Comentario

Los comentarios están cerrados