{"id":23825,"date":"2020-09-10T13:46:56","date_gmt":"2020-09-10T11:46:56","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23825"},"modified":"2020-09-10T13:46:56","modified_gmt":"2020-09-10T11:46:56","slug":"tracking-pixel-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/tracking-pixel-bec\/23825\/","title":{"rendered":"El p\u00edxel de seguimiento al servicio de los ciberdelincuentes"},"content":{"rendered":"

Los atacantes no escatiman en esfuerzos a la hora de dise\u00f1ar ataques de compromiso de correos electr\u00f3nicos corporativos (BEC, por sus siglas en ingl\u00e9s). Cuando se hacen pasar por alguien autorizado para transferir fondos o enviar informaci\u00f3n confidencial, sus mensajes deben parecer lo m\u00e1s leg\u00edtimo posible. Aqu\u00ed los detalles son de gran importancia.<\/p>\n

Hace poco lleg\u00f3 a nuestro poder un ejemplo interesante de un correo electr\u00f3nico enviado a un empleado de una empresa con la intenci\u00f3n de iniciar una conversaci\u00f3n.<\/p>\n

\"\"

Hola, av\u00edsame cuando est\u00e9s disponible. Necesito que hagas algo, pero ahora tengo que entrar a una reuni\u00f3n, as\u00ed que, simplemente responde al correo. Saludos. Enviado desde mi iPhone<\/p><\/div>\n

El texto es bastante preciso y seco para el tipo de correo en cuesti\u00f3n. El atacante deja claro que el remitente est\u00e1 en una reuni\u00f3n, de modo que no se le puede contactar por ning\u00fan otro medio. El objetivo es que el destinatario no intente comprobar si el remitente del mensaje es realmente la persona cuyo nombre aparece en la firma. Y, visto que los atacantes no intentaron ocultar el hecho de que el correo se envi\u00f3 desde un servicio p\u00fablico de correo electr\u00f3nico, es evidente que sab\u00edan que la persona a la que estaban imitando usaba dicho servicio o esperaban que fuera com\u00fan en la empresa el uso de un servicio de correo electr\u00f3nico de terceros para la correspondencia corporativa.<\/p>\n

Pero fue otra cosa lo que llam\u00f3 nuestra atenci\u00f3n: la firma \u201cEnviado desde mi iPhone\u201d. Dicha firma pertenece a los ajustes por defecto de la aplicaci\u00f3n Mail de iOS para los mensajes de salida; sin embargo, los encabezados t\u00e9cnicos sugieren que el mensaje se envi\u00f3 a trav\u00e9s de una interfaz web, en concreto desde el navegador Mozilla.<\/p>\n

\u00bfPor qu\u00e9 los atacantes intentan aparentar que su mensaje se envi\u00f3 desde un smartphone<\/em> de Apple? La firma autom\u00e1tica se pudo haber a\u00f1adido para concederle un toque de seriedad al mensaje. Pero ese no es el truco m\u00e1s astuto. Con frecuencia, los ataques BEC parecen provenir de un compa\u00f1ero de trabajo; y es muy probable que, en este caso, el destinatario sepa qu\u00e9 tipo de dispositivo utiliza esa persona.<\/p>\n

Por tanto, los delincuentes sab\u00edan muy bien lo que hac\u00edan. \u00bfPero c\u00f3mo es posible? Lo cierto es que no es tan dif\u00edcil. Todo lo que necesitan es realizar cierta labor de reconocimiento usando un p\u00edxel de seguimiento, tambi\u00e9n conocido como faro o baliza web (web beacon<\/em>).<\/p>\n

Qu\u00e9 es un p\u00edxel de seguimiento y por qu\u00e9 se usa<\/h2>\n

En general, las empresas que env\u00edan correos masivos a los clientes, desean conocer el nivel de interacci\u00f3n. En teor\u00eda, el correo electr\u00f3nico tiene una opci\u00f3n incorporada para enviar confirmaciones de lectura, pero los destinatarios deben aceptar su uso, lo cual la mayor\u00eda rechaza. Por esta raz\u00f3n, los trabajadores del mundo del marketing decidieron crear el p\u00edxel de seguimiento.<\/p>\n

Un p\u00edxel de seguimiento es una imagen diminuta. Con apenas un p\u00edxel de alto por uno de ancho, resulta imperceptible para el ojo; se alberga en el sitio web, de modo que cuando un cliente solicita la imagen, el remitente que controla el sitio recibe la confirmaci\u00f3n de que el mensaje se abri\u00f3, as\u00ed como la direcci\u00f3n IP del dispositivo receptor, el tiempo que el correo estuvo abierto e informaci\u00f3n sobre el programa que se us\u00f3 para abrirlo. \u00bfTe ha pasado alguna vez que un cliente de correo electr\u00f3nico no ha mostrado las im\u00e1genes hasta que haces clic para descargarlas? No es para mejorar el rendimiento o limitar el tr\u00e1fico. De hecho, las descargas autom\u00e1ticas de im\u00e1genes suelen estar desactivadas por defecto por motivos de seguridad.<\/p>\n

\u00bfC\u00f3mo puede un ciberdelincuente aprovecharse del p\u00edxel de seguimiento?<\/h2>\n

Aqu\u00ed va un ejemplo: Mientras est\u00e1s de viaje en el extranjero, te llega un mensaje a tu bandeja de entrada del trabajo que parece ser relevante para tu empresa. En cuento te das cuenta de que se trata de una solicitud no deseada, lo cierras y lo eliminas, pero mientras tanto, el atacante se enter\u00f3 de lo siguiente:<\/p>\n