Las estrategias de la ciberdelincuencia se complejizan sin pausa y, en ese marco, cualquiera puede ser el blanco al que apuntan los atacantes. Un experto en seguridad casi cae en una trampa elaborada por piratas informáticos que buscar apoderarse de cuentas de Gmail. Aunque estuvo a punto de quedar envuelto en esas redes, este hombre descubrió el engaño y dio a conocer sus detalles para evitar que otros se conviertan en víctimas.
“Las estafas son cada vez más sofisticadas, más convincentes y se implementan a una escala cada vez mayor (…) Este intento de fraude parecía lo suficientemente legítimo como para darles un 10 por su esfuerzo”, dijo Sam Mitrovic, que trabaja como consultor de ciberseguridad en Microsoft y que logró eludir esta estafa. “Es probable que muchas personas caigan. Hay muchas maneras para luchar contra los estafadores, sin embargo, a nivel individual la mejor herramienta sigue siendo la vigilancia, haciendo las comprobaciones básicas o buscando la ayuda de alguien en quien confíes”, comentó.
¿Cómo es la estafa que se apodera de cuentas de Gmail?
El intento de fraude sobre el que Mitrovic echa luz es sofisticado por combinar phishing clásico —suplantación de identidad vía correo electrónico— y vishing, el término que se emplea para este tipo de estafas cuando se canalizan a través de llamadas de voz.
En primera instancia, los ciberdelincuentes envían un email que pide que se apruebe una recuperación de cuenta. Según contó el experto en una entrada de blog, no aceptó ese pedido y a los 40 minutos recibió una llamada telefónica de Google Sidney. En este caso atendió y al otro lado de la línea le preguntaron si estaba de viaje y si inició sesión desde un país diferente, dándole a entender que un intruso habría intento acceder a su cuenta de Gmail.
Ni lento ni perezoso, Mitrovic buscó en la Web si el número era legítimo y, efectivamente, pertenecía a oficinas en Australia de Google, compañía que es dueña de Gmail. En este punto, hay un aspecto clave a tener en cuenta: según explicó el especialista, los atacantes disponen de herramientas para falsear el número que aparece en la identificación de llamadas.
El contraataque del experto en ciberseguridad
Este fraude elaborado pretende robar cuentas de Gmail. Cuando las personas contactadas son alertadas de supuestas intrusiones, los atacantes piden datos de acceso. Creyendo que se trata de una comunicación oficial (de Google), los desprevenidos entregan sus credenciales.
Pero, en este caso, se metieron con la persona equivocada. Mitrovic descubrió pronto el revés de la trama y pidió a la persona que se comunicó con él que le envíe un correo electrónico para autenticar la validez de la llamada. Al recibir ese mensaje, encontró dominios que no pertenecían a Google. Entonces colgó.
Usuarios de Gmail en alerta: los alcances del fraude
Los que caen en esta trampa pierden sus cuentas, que son intervenidas por los estafadores. Tal como señalamos, se trata de un caso de phishing que, aunque elaborado, sigue los pasos de ese tipo de estafas. Los atacantes simulan ser una fuente de confianza para que las personas a las que contactan entreguen información sensible y datos de acceso. Cuando el usuario es engañado, es enviado a un formulario falso que imita el diseño de las plataformas oficiales.
Entre las recomendaciones para evitar el phishing se destacan las siguientes:
- Nunca tocar en enlaces enviados por fuentes desconocidas.
- No entregar información personal, nombres de usuario y contraseñas.
- En caso de recibir un pedido de esta especie, hay que corroborar en forma directa con la empresa, organización o entidad.
- La información y el sentido común son los mejores antídotos para evitar caer en estas trampas, que si bien involucran aspectos técnicos, en buena medida se basan en lo que se conoce como “ingeniería social”, ardides que apuntan a ganar la confianza de las víctimas para que entreguen datos por voluntad propia, aunque engañados.
