{"id":20070,"date":"2020-09-08T16:42:57","date_gmt":"2020-09-08T22:42:57","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20070"},"modified":"2020-09-09T05:37:12","modified_gmt":"2020-09-09T11:37:12","slug":"tracking-pixel-bec","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/tracking-pixel-bec\/20070\/","title":{"rendered":"El pixel de seguimiento al servicio de los cibercriminales"},"content":{"rendered":"

Los atacantes tienden a no escatimar esfuerzos para dise\u00f1ar ataques de correo corporativo comprometido (BEC, por sus siglas en ingl\u00e9s). Cuando se presenta alguien que dice estar autorizado para transferir fondos o enviar informaci\u00f3n confidencial, necesitas observar lo m\u00e1s detenidamente posible sus mensajes frente a uno leg\u00edtimo. Los detalles son de importancia.<\/p>\n

Recientemente lleg\u00f3 a nuestro poder un ejemplo interesante de un correo electr\u00f3nico enviado al empleado de una empresa en un intento de iniciar una conversaci\u00f3n.<\/p>\n

\"\"<\/p>\n

El texto es bastante preciso y adusto para el tipo de correo en cuesti\u00f3n. El atacante deja en claro que el remitente est\u00e1 en una reuni\u00f3n, de modo que no se le puede contactar por ning\u00fan otro medio. Hacen eso para desalentar al destinatario de comprobar si en realidad est\u00e1n recibiendo mensajes de la persona cuyo nombre aparece en la firma. Y como los atacantes no intentaron ocultar el hecho de que el correo se envi\u00f3 desde un servicio p\u00fablico de correo electr\u00f3nico, ellos sab\u00edan que la persona que estaban imitando usaba el servicio o esperaban que fuera com\u00fan para la empresa usar un servicio de correo electr\u00f3nico de terceros para la correspondencia comercial.<\/p>\n

Pero fue otra cosa lo que llam\u00f3 nuestra atenci\u00f3n: la firma \u201cEnviado desde mi iPhone\u201d. Dicha firma pertenece a los ajustes por defecto de la aplicaci\u00f3n Mail de iOS para los mensajes de salida; sin embargo, los encabezados t\u00e9cnicos sugieren que el mensaje se envi\u00f3 a trav\u00e9s de una interfaz web, espec\u00edficamente del navegador Mozilla.<\/p>\n

\u00bfPor qu\u00e9 los atacantes intentan aparentar que su mensaje se envi\u00f3 desde un smartphone de Apple? La firma autom\u00e1tica se pudo haber a\u00f1adido para hacer que el mensaje luzca m\u00e1s serio. Pero ese no es el truco m\u00e1s astuto que hay. Con frecuencia, los ataques BEC parecen provenir de un compa\u00f1ero de trabajo; las probabilidades de \u00e9xito son buenas en este caso, pues el destinatario sab\u00eda con qu\u00e9 tipo de dispositivo cuenta esa persona.<\/p>\n

As\u00ed pues, los criminales sab\u00edan lo que hac\u00edan. \u00bfPero c\u00f3mo pueden hacerlo? De hecho, no es dif\u00edcil. Todo lo que se necesita es hacer cierta labor de reconocimiento usando un pixel de seguimiento, tambi\u00e9n conocido como faro o baliza web (web beacon<\/em>).<\/p>\n

\u00a0<\/p>\n

Qu\u00e9 es un pixel de seguimiento y por qu\u00e9 se le usa<\/h2>\n

En general, las empresas que env\u00edan correos masivos a los clientes, los socios o los lectores (es decir, casi todas las empresas) desean saber qu\u00e9 nivel de interacci\u00f3n logran. En teor\u00eda, el correo electr\u00f3nico tiene una opci\u00f3n incorporada para enviar confirmaciones de lectura, pero los destinatarios deben aceptar su uso, lo cual la mayor\u00eda rechaza. As\u00ed pues, a los astutos mercad\u00f3logos se les ocurri\u00f3 crear el pixel de seguimiento.<\/p>\n

Un pixel de seguimiento es una imagen diminuta. Con apenas un pixel de alto por uno de ancho, resulta imperceptible para el ojo; se alberga en el sitio web, de modo que cuando un cliente solicita la imagen, el remitente que controla el sitio recibe la confirmaci\u00f3n de que el mensaje se abri\u00f3, as\u00ed como la direcci\u00f3n IP del dispositivo receptor, el tiempo que el correo estuvo abierto e informaci\u00f3n sobre el programa que se us\u00f3 para abrirlo. \u00bfHas notado que un cliente de correo electr\u00f3nico no muestra im\u00e1genes hasta que haces clic para descargarlas? Esto no es para mejorar el rendimiento o limitar el tr\u00e1fico. De hecho, las descargas autom\u00e1ticas de im\u00e1genes com\u00fanmente se encuentran desactivadas por defecto por motivos de seguridad.<\/p>\n

\u00a0<\/p>\n

\u00bfC\u00f3mo puede un cibercriminal aprovecharse del pixel de seguimiento?<\/h2>\n

He aqu\u00ed un escenario: mientras est\u00e1s de viaje en el extranjero, te llega un mensaje a tu bandeja de entrada del trabajo que parece ser pertinente para tu empresa. No bien te das cuenta de que se trata de una solicitud no deseada, lo cierras y lo eliminas, pero mientras tanto, el atacante se enter\u00f3 de lo siguiente:<\/p>\n