Mia Ash, la ‘mujer’ más peligrosa de las redes
En apariencia, Mia Ash es una mujer británica de 30 años con dos títulos de arte, una exitosa carrera como fotógrafa y más de 500 amigos en Facebook (y otros tantos en LinkedIn). También tiene cuentas en plataformas como Blogger y WhatsApp.
La mayoría de sus amigos son de Oriente Medio, mientras que su estado de relación es “complicado”. Sin embargo, según el portal Wired, se trata de una mujer ficticia: no existe.
Investigadores de la empresa de seguridad SecureWorks establecieron que la biografía de Mia Ash es inventada y que sus fotografías fueron robadas del perfil de otra mujer. Los expertos creen que se trata de una compleja creación de ‘hackers’ iraníes que han espiado de ese modo a decenas de compañías de Oriente Medio.
¿Cómo funciona la trampa?
Al ayudar a una empresa de Oriente Medio tras un intento de infección de un ‘spyware’, SecureWorks descubrió que uno de sus empleados se había comunicado con Mia Ash durante más de un mes. La supuesta mujer inició un diálogo profesional en LinkedIn en torno a la fotografía; luego la comunicación se trasladó a Facebook y finalmente Mia le envió al hombre un correo electrónico con un archivo adjunto de Excel sobre un estudio de fotografía. La ‘mujer’ le pidió al empleado que abriera el archivo en su oficina bajo el argumento de que allí funcionaría mejor.
Tras un mes de una conversación que infundía confianza, el trabajador así lo hizo. Inmediatamente, el archivo puso en marcha una macroinstrucción maliciosa en su ordenador y trató de instalar el ‘malware’ PupyRAT, aunque el antivirus de la empresa lo impidió.
Tras realizar una profunda investigación sobre el sospechoso perfil, señala el medio, los especialistas de ciberseguridad descubrieron que ‘hackers’ habían creado el personaje como un señuelo para empleados de las compañías apuntadas durante más de un año, con el fin de infectar computadoras con el ‘spyware’ y conseguir una posición establecida allí”.
Allison Wikoff, una de las principales autoras de la investigación, destacó que, si bien esta trampa no es algo nuevo, no es común que los ‘hackers’ construyan un personaje tan detallado y duradero. “Es uno de los personajes falsos mejor construidos que he visto”, comentó la experta. “Definitivamente funcionó y lo hizo durante más de un año”.
Asimismo, los especialistas de SecureWorks creen que Mia Ash es más bien una táctica secundaria que se emplea cuando no funcionan los correos electrónicos de ‘phishing’ más tradicionales.
¿Y qué fue de Mia Ash?
Este mes, el perfil de Mia Ash desapareció de LinkedIn, mientras que Facebook eliminó su cuenta tras un aviso de SecureWorks. La mujer real cuyas imágenes fueron utilizadas para el fraude también fue identificada, pero pidió no revelar su identidad.
Wikoff sostiene a que el caso de Mia Ash podría servir de ejemplo sobre cómo la publicación de fotos personales en las redes sociales puede hacerle daño a uno de la manera más inesperada.