¿Me das permiso?
La pregunta «¿Me das permiso?» es una solicitud directa para obtener autorización o consentimiento para realizar una acción o llevar a cabo una actividad. Implica una actitud de respeto hacia la otra persona, ya que reconoce que la decisión final recae en su voluntad. La pregunta también refleja la necesidad de considerar la opinión o los límites del otro antes de proceder con algo.
Vivimos en una era donde un simple clic puede abrir la puerta a nuestra privacidad. Cada día, aplicaciones y sitios web nos piden acceso a la cámara, al micrófono o a nuestra ubicación. ¿Pero cuántas veces nos detenemos a pensar en lo que realmente estamos permitiendo?.
Camphish, una herramienta disponible en Kali Linux, demuestra cómo una simple distracción puede convertirnos en víctimas de espionaje digital.
Este artículo no solo te demostrará que el factor humano es determinante en la mayoría de las ocasiones y que se podría evitar con un poco de formación en ciberseguridad, sino que también te hará reflexionar: ¿cuántas veces le has dado permiso a alguien sin siquiera saberlo?.
La mejor manera de defenderse de un ataque es conocer como se produce.
¿Qué es el phishing?
El phishing es una estrategia engañosa utilizada para robar información personal, como contraseñas o datos de tarjetas de crédito. Por lo general, ocurre a través de correos electrónicos o mensajes que aparentan ser legítimos, pero en realidad son falsificaciones bien diseñadas.
Un ejemplo típico sería recibir un correo que parece venir de tu banco, solicitándote hacer clic en un enlace e iniciar sesión. Al ingresar tus credenciales en una página que imita el sitio oficial, en realidad estás entregando esa información a un delincuente que puede acceder a tu cuenta bancaria.
¿Qué es CamPhish?
CamPhish utiliza una técnica para tomar fotos de la cámara delantera del teléfono del objetivo o de la webcam del PC.
CamPhish muestra un sitio web falso en el servidor PHP incorporado y utiliza Ngrok o Serveo para generar un enlace que vamos a reenviar al objetivo y que se puede utilizar en Internet.
El sitio web pide permiso de cámara y si el objetivo lo permite, esta herramienta captura las fotos de la cámara.
Escenario
Con la ayuda de esta imagen, podríamos entender el concepto. Primero, el atacante enviará su enlace malicioso a través de cualquier método; camuflado en un código Qr, en una imagen… Después de que la víctima acceda a la trampa, el atacante puede acceder a la cámara del dispositivo.
Requisitos
- Kali Linux
- Cuenta en Ngrok
Proceso
Podemos encontrar el repositorio de este proyecto en Github:
https://github.com/techchipnet/Camphish
Los pasos son realmente sencillos:
Esta herramienta requiere PHP para el servidor web, SSH o enlace Serveo de modo que primero ejecutaremos el siguiente comando en la terminal:
apt-get -y install php openssh git wget
Lo siguiente será clonar el repositorio:
git clone https://github.com/techchipnet/CamPhish
Ahora nos dirigimos al directorio donde se ha instalado:
Una vez en el directorio ejecutamos CamPhish:
bash camphish.sh
El programa se ejecuta y nos ofrece dos opciones para elegir el servidor del tunel; Ngrok o Serveo.net:
En este punto, he elegido la opción 01 principalmente porque ya tenía una cuenta.
Puedes abrir una cuenta gratuita de Ngrok:
Aquí tienes la opción de crear un usuario y contraseña o acceder con tu cuenta de Google o de Github
Si lo haces con alguna de estas te solicitará permiso para crear una cuenta:
CamPhish tiene la particularidad de que no tienes que configurar nada en Ngrok, solo necesitas el token de autenticación que aparece en el dashboard:
De vuelta a la terminal de Kali, hemos elegido la opción 01 para el tunel con Ngrok.
Lo siguiente que nos pide es que escojamos una plantilla de las tres que nos ofrece. Se pueden crear plantillas personalizadas pero para este ejemplo eligiremos una de las que vienen con el programa. En mi caso me quedo con la opción 01 (Festival). En el supuesto de escoger la opción de Youtube nos solicitará que indiquemos la id del vídeo:
Nos pedirá que le pongamos un nombre. Vale cualquiera pero el nombre debería invitar a pinchar en el enlace. Yo he optado por poner Barbacoa:
Lo siguiente que nos va a solicitar es el token de Ngrok:
Aquí le pondremos el token que hemos copiado del dashboard de Ngrok:
Esto iniciará el servidor PHP, iniciará el servidor Ngrok y nos dará un enlace:
Ese es el enlace que el atacante envía a la víctima con la esperanza de que pinche en el:
Mientras, la máquina Kali permanece a la escucha:
¿Qué ocurre cuando la víctima pincha el enlace?
Cuando la víctima pincha el enlace se abre una página donde Ngrok generará una alerta, para todos los que accedan a ella, indicando que vas a acceder a la app. En esa alerta queda al descubierto la IP del atacante. Todavía la víctima está a tiempo de pensárselo y no pinchar sobre el enlace. En este punto, creo que Serveo no emite ninguna alerta:
La víctima se descuida y pincha en el enlace. Se abre un cuadro de diálogo donde solo se le solicita el nombre y lo ingresa:
En este punto, el atacante ya ha capturado la IP de la víctima:
Una vez que la víctima introduce el nombre y acepta, se abre la siguiente página donde claramente indica que la web está solicitando permiso para acceder a la cámara:
Y en el momento en que le da permiso:
CamPhish comienza a capturar imágenes desde la cámara web:
Si usamos Crtl+C para detener la captura y listamos el directorio veremos que ha capturado las imágenes de la cámara de la víctima:
Podemos ir al directorio para ver las imágenes capturadas:
Resumen del lado de la víctima
- No pinchar enlaces de los que no tengamos clara la procedencia sería lo primero que habría evitado que el ataque continuase.
- Observar la URL y desconfiar de todas aquellas que no estén claras o sean sospechosas. Direcciones IP y URLs con dominio Ngrok, Serveo o No-PI deben hacer saltar las alarmas. Esto sería lo segundo que habría frustrado el ataque.
- En tercer lugar, la solicitud de permiso para acceder a la cámara es totalmente injustificada. La víctima debe plantearse si tiene sentido los permisos que está aceptando.
- Finalmente, si todo esto ha llegado a ocurrir, un simple protector para tener la cámara tapada mientras no se usa, le hubiese salvado de salir en la foto.
- La acción de la víctima ha sido imprescindible para que el ataque se produzca.
Resumen del lado del atacante
Por su parte, un atacante que utilice Camphish para obtener imágenes de una víctima sin su consentimiento estaría infringiendo varias leyes en España:
- Delito de descubrimiento y revelación de secretos (Artículo 197 del Código Penal): Este artículo sanciona a quien, sin autorización, capture, reproduzca o publique imágenes de una persona en lugares o momentos de su vida privada. Las penas pueden variar desde prisión de uno a cuatro años y multas de 12 a 24 meses.
- Difusión no consentida de imágenes íntimas (Artículo 197.7 del Código Penal): Incluso si las imágenes fueron obtenidas con el consentimiento de la víctima, su difusión sin autorización puede conllevar penas de prisión de tres meses a un año o multas de seis a doce meses.
- Vulneración del derecho a la propia imagen (Ley Orgánica 1/1982): Esta ley protege el derecho a la propia imagen y considera una intromisión ilegítima la captación, reproducción o publicación de la imagen de una persona sin su consentimiento, especialmente en contextos de su vida privada.
- Infracción de la Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): La obtención y tratamiento de imágenes sin el consentimiento de la persona afectada puede constituir una infracción administrativa, sancionada con multas que varían según la gravedad y circunstancias del caso.
Por lo tanto, un atacante que emplee Camphish para obtener imágenes sin consentimiento estaría vulnerando al menos cuatro normativas legales en España.
