Algunos ciberdelincuentes encargados de lanzar importantes campañas de malware suelen intentar dirigirlas a un país o zona concreta basándose en la dirección IP. Esta dirección se cruza con bases de datos como la de MaxMind GeoIP para “localizar a esa persona en Internet”. El problema es que, aunque es la técnica más segura hasta la fecha, no es demasiado precisa debido a diferentes factores. Ahora, se ha descubierto un nuevo malware que estaría utilizando una técnica mucho más fiable para localizar la ubicación física de la víctima del ataque.
Como hemos dicho, la utilización de la dirección IP y el cruce con bases de datos de direcciones no es un método muy preciso para conocer la localización. Esto se debe a que estas bases de datos no son capaces de actualizarse a la velocidad en la que las direcciones IP cambian de manos en el mercado libre, por parte de operadores o centros de datos que compran o alquilan bloques constantemente.
Añadir el BSSID de la red WiFi para máxima precisión
Esta segunda técnica de la que te hablábamos en la introducción utiliza un dato como es el BSSID o Basic Service Set Identifier. A grandes rasgos, es la dirección MAC física del router inalámbrico o punto de acceso inalámbrico utilizada para conectarse a Internet. La podemos conocer fácilmente en Windows accediendo a CMD o símbolo de sistema y escribiendo: netsh wlan show interfaces | find «BSSID». No debemos confundir BSSID o SSID (Service Set Identifier), que es el nombre que le damos a la red WiFi.
Este nuevo malware se dedica a recopilar el BSSID de una red WiFi para luego cruzarlo con la base de datos gratuita que mantiene Alexander Mylnikov. Esta base de datos recoge todos los identificadores conocidos y sus últimas localizaciones. Suelen utilizarse para muchas cosas, como, por ejemplo, por parte de las aplicaciones móviles cuando no pueden conseguir acceso a la localización del móvil directamente.
Cruzando estos datos se puede determinar la localización física del punto de acceso inalámbrico utilizado para conectarse a Internet, algo bastante más preciso que la dirección IP. Lo “bueno” de este método alternativo es que puede combinarse con el utilizado hasta la fecha de cruzar la dirección IP con una base de datos de direcciones. De esa forma, se confirman datos y se localiza de forma más precisa.
Para los ciberdelincuentes esto es vital ya que muchas de sus campañas se centran en usuarios de un solo país o incluso buscan evitar atacar a personas de su propia nacionalidad, para evitar llamar la atención de las autoridades locales.