Un Administrador de Fincas Hackeado

En esta entrada del Blog no voy a hablar de la Ley de Protección de Datos, ni de encargados de tratamiento, ni de responsables del fichero, ni del Documento de Seguridad.  Lo que voy a explicar es como han hackeado y puesto en riesgo los datos de un Despacho de un Administrador de Fincas.

Me gustaría que este post sirviera para sensibilizar que esto del hackeo no solo se hace en empresas grandes, ni en multinacionales, sino que también podemos ser objetivo de estos ataques, aunque seamos un despacho pequeño en un pueblo pequeño de España.

De sobra es conocido que todos los despachos de administradores de fincas tienen relaciones con abogados, ya sea porque en el propio despacho hay abogados, ya sea porque se tiene una relación profesional con ellos, por ejemplo para las demandas judiciales contra los morosos, etc.  Por lo que no es normal enviar y recibir correos electrónicos con este colectivo por diferentes razones.

En este caso un abogado había enviado un correo electrónico al despacho para notificar una demanda judicial contra una comunidad de propietarios, y aunque es verdad que no detallaba cual era, el abogado es real, el correo electrónico es __________@icab.cat (Ilustre Colegio de Abogados de Barcelona) es real, el bufete de abogados es real, por lo que hasta aquí no hay nada sospecho en trabajo diario de un despacho de administración de fincas.  Lo único que decía es que los documentos estaban en Google Docs, por lo que clicando en el enlace y poniendo tu email y contraseña de gmail era suficiente.  Así que clicando el enlace salía esto:

google

Se puso el email y la contraseña, y dio error, volvió a salir esta pantalla y ya no hubo ningún problema para poder entrar.  Lo único es que los documentos que decían que habían enviado no estaban.  Por lo que se llamó al despacho de abogados en cuestión para que los volviera a enviar y Oh SORPRESA!!!!!  Nos dicen que habían sido hackeados y que por su cuenta de correo electrónico habían enviado emails a diferentes personas, que no conocían, diciendo que tenían documentos importantes y que lo único que necesitaban era que se registraran en Google.

Al principio se quedaron atónitos, luego pensaron si ellos habían sido hackeados y el miedo se les apoderó.  Enviaron correos electrónicos a todo el mundo que tenían en la agenda para informar de lo que había pasado, anularon la cuenta de email y crearon otra.

Pero ¿realmente habían sido hackeados? Nada de lo que había hecho el administrador de fincas hacia sospechar de ello.

Cuando fui a visitarlos y me lo contaron, me acorde del gran Chema Alonso, el mayor hacker español de todos los tiempos y ahora Directivo de Telefónica, y como en unas de sus charlas explicaban cómo podían tener el usuario y contraseña para poder entrar en un Iphone.

La técnica consiste en que en el enlace cuando te envía a la página web donde te registras realmente NO es de Google, si no de otro sitio que a lo mejor también ha sido hackeado, y eso solo se ve si te fijas en la dirección de la web, pero ¿Quién se fija en esa dirección? Ya que la interface es la misma que Google.  Así que cuando metes el usuario y contraseña, YA LO TIENEN, te da un mensaje de error, y posteriormente SI vas a la página de Google correcta, por lo que puedes entrar sin ningún problema.

Esta vez tuvieron suerte ya que el correo electrónico que pusieron apenas se usaba, y no había nada sensible y sin apenas direcciones de correo electrónicos.  Pero ¿os imagináis que hubiera pasado si es la dirección del correo electrónico que si se utiliza del despacho? Hubieran podido tener nombres, direcciones, DNI, números de cuentas bancarios, etc.

De esta experiencia creo que tenemos que sacar dos conclusiones:

La primera: que da igual que seas grande o pequeño, que estés en una gran ciudad o en un pueblo, que tengas empleados o que trabajes tu solo, SIEMPRE, SIEMPRE, SIEMPRE, puedes ser víctima que hackeen tu Despacho.

La segunda: que aunque nunca estarás 100% seguro, tienes que poner los medios, para minimizar los riesgos.

Y si alguna vez has sido hackeado y quieres compartir tu experiencia, ponla en comentarios