Conoce la nueva estafa de portales cautivos falsos que utilizan los ciberdelincuentes para comprar servicios de streaming con tu cuenta de internet.
por Eliot Eggers*
Si viven en la Ciudad de México, seguro habrán notado que los servicios de WiFi gratuito de diversas compañías telefónicas como Izzi, Telmex y TotalPlay han aumentado considerablemente, causando que el pasado 9 de noviembre de 2021 la Ciudad de México rompiera el récord Guiness por presentar la impresionante cantidad de 21,500 hotspots ubicados a lo largo y ancho de esta metrópoli.
Y a todo esto, ¿dónde está el problema? Estás redes WiFi deben de ser seguras, ¿no es así? Bueno… no exactamente. Las redes que brindan estas compañías en efecto suelen ser seguras la mayoría del tiempo. El problema está cuando nos conectamos a una red clonada que es operada por ciberdelincuentes. Espera… ¿qué? ¿Por qué alguien pondría una red WiFi falsa cerca de un restaurante o cafetería? En realidad existen diversos motivos como intentar espiar la información que enviamos mientras navegamos, dirigirnos a sitios web falsos o simplemente robar nuestras credenciales de acceso con las cuales pagamos nuestros servicios de internet, que es en lo que nos vamos a centrar este día.
¿Cómo se crea una red WiFi falsa?
Ciertamente crear una red WiFi falsa es algo bastante sencillo de hacer, ya que lo único que un atacante necesita es contar con una antena WiFi de largo alcance (cuyo costo suele ser bajo), además de una computadora con aplicaciones gratuitas como “Aircrack-ng” o “WiFi Pumpkin”, que sirven para montar una red falsa desde la comodidad de casa o un café cercano. Una vez implementada esta red falsa sólo queda una cosa más por hacer: implementar un portal cautivo falso.
¿Qué son los portales cautivos de WiFi y cómo pueden ser falsificados?
Si alguna vez has utilizado la red WiFi en el aeropuerto o en algún hotel o café, ya habrás notado que al conectarte a estas redes públicas en automático tu teléfono celular o computadora muestran una página web en donde debes de aceptar los términos y condiciones del uso de dicha red para poder acceder a la misma.
Portal cautivo falso de WIFI
A estas páginas web que aparecen en cuanto nos conectamos al WiFi se les conoce como portales cautivos. En ellos, muchas empresas no sólo nos piden aceptar los términos y condiciones del uso de la red para darnos acceso al WiFi, sino que también se solicita que ingresemos con nuestros usuarios de redes sociales, como Facebook, Twitter o Google.
Sin embargo, si han utilizado los servicios de Club TotalPlay o Izzi Spot entonces habrán notado que para poder hacer uso de estas redes debemos de acceder con las mismas contraseñas con las cuales pagamos nuestros servicios de internet, ya sea desde la aplicación o página web de estas compañías. Y es justo aquí donde está el problema. Pues estos portales cautivos pueden ser fácilmente clonados por un ciberdelincuente cuyo fin es robar nuestras credenciales.
Descubrimiento de redes WiFi falsas
Hace algunas semanas, tras estar auditando algunas redes de la Ciudad de México, encontré al menos 15 redes WiFi falsas en el centro de la CDMX, las cuales se hacían pasar por redes de Izzi, Totalplay y Telmex.
Se descubrió que estas redes eran falsas porque, al momento de tratar de ingresar a estas páginas web con usuarios falsos como [email protected] con passwords aleatorios, siempre obtuve acceso a la red. Poder ingresar a una red con usuarios falsos implica que no se está llevando a cabo ninguna autenticación de los usuarios por parte de las compañías telefónicas, por lo cual es fácil deducir que estas redes estaban ahí solo para obtener credenciales de los usuarios. Entre otras cosas que también pudimos notar es que las direcciones MAC de estas redes no pertenecían a ninguna marca de equipos wifi comercial, además que estas redes cancelaban su servicio de internet poco después de conectarnos a estas mismas.
Luego de unos días, dentro del laboratorio de entorno controlado, hicimos unas pruebas donde replicamos dicho ataque con herramientas similares a las que utilizaría un ciberdelincuente. Y el ataque funcionó de inmediato. En cuestión de minutos ya teníamos clonados los portales cautivos de diversas compañías de internet. No obstante, esta red falsa estaba fuera del alcance de cualquier usuario ajeno al equipo de pruebas.
Sin embargo, hay que destacar que cualquier persona despistada que decidiera entrar a un portal cautivo falso, le otorgaría sus credenciales de Izzi, TotalPlay o Telmex a un ciberdelincuente, quien podría comprar cuentas de streaming desde los portales de estas compañías. Sólo es necesario que el usuario afectado tenga domiciliada su tarjeta de débito o crédito a la cuenta, para así comenzar a comprar cuentas de streaming u otras cosas que permita la empresa telefónica en cuestión.
Y entonces ¿Qué podemos hacer para protegernos?
Estas son algunas recomendaciones para evitar caer en ataques de redes WiFi falsas:
1. Intentar ingresar con credenciales falsas antes de otorgar las credenciales verdaderas: esto debido a que la mayoría de portales cautivos falsos no verifican que nuestra información sea verídica.
2. Utilizar nuestros datos celulares cuando sea posible: si bien esto no siempre es una opción, por lo general suele ser más seguro utilizar nuestros datos celulares para navegar por internet. Esto debido a que en redes celulares ningún atacante puede monitorear nuestra información sin tener acceso a nuestro equipo celular.
* Eliot Eggers, Ethical Hacker in Intelligent Networks.
