Los ladrones digitales son, como no podía ser de otra manera, persistentes e innovadores.
Siempre encuentran nuevas formas de intentar robarte tu dinero.
El phishing, en el que los ladrones se hacen pasar por entidades de confianza o envían correos electrónicos o mensajes de apariencia legítima para engañarte y que les des a tus cuentas, es un método muy extendido. Y está en constante evolución.
“Hemos visto el phishing dispararse”, afirmó Eva Velasquez, directora ejecutiva del Centro de Recursos contra el Robo de Identidad, una organización nacional sin fines de lucro con sede en San Diego.
Pero el conocimiento es poder. Por eso, según expertos en seguridad en internet, aquí te presentamos tres amenazas emergentes de phishing a las que debes prestar atención. Las tres amenazas se dirigen a partes clave de la vida digital de las personas: archivos adjuntos de correo electrónico que conducen a páginas de inicio de sesión falsas, fraudes con la autenticación multifactor e invitaciones engañosas al calendario.
Dedicar unos minutos a leer estos consejos podría ayudarte a evitar que te roben tu identidad o dinero y a ahorrarte incontables horas lidiando con las consecuencias.
Adjuntos HTML que abren páginas de inicio de sesión falsas.
Imagina a un profesional ocupado, en modo de acción con los correos electrónicos. En los últimos 30 minutos de un sábado por la mañana, ha rellenado las exenciones de responsabilidad por correo electrónico para los campamentos de verano de sus siete hijos, ha presentado un informe de gastos para el trabajo, ha respondido a un mensaje del veterinario en un portal seguro sobre la receta de su cachorro enfermo, ha revisado 182 asuntos de correo electrónico y ha pagado cinco facturas desde su bandeja de entrada, incluyendo la prima del seguro del coche y su querido club del queso del mes.
En medio de este aluvión de correos electrónicos entrantes, anuncios, facturas y mensajes seguros, trabaja en piloto automático: abre mensajes, revisa, hace clic e inicia sesión.
¡Qué oportunidad perfecta!
Los estafadores se aprovechan de la distracción del (y de su confianza) enviando correos electrónicos con archivos adjuntos en formato HTM o HTML. Al hacer clic, se abre un archivo del navegador que parece una página de inicio de sesión segura y conocida. Estas páginas pueden parecer visores de facturas seguros, servicios de intercambio de archivos como DocuSign o Dropbox, o páginas de inicio de sesión en plataformas como Microsoft 365.
“Una vez que el introduce sus credenciales, estas se envían subrepticiamente al servidor del atacante”, explicó Vlad Cristescu, director de ciberseguridad de ZeroBounce, una empresa de Florida que ayuda a las empresas a reducir la tasa de rebotes de correos electrónicos de marketing.
Por qué este método es especialmente insidioso: “El correo electrónico no incluye un enlace en el que se pueda hacer clic, por lo que los filtros de seguridad estándar (que buscan URL o archivos adjuntos maliciosos como PDF y ZIP) podrían no detectarlo”, añadió Cristescu.
Para evitar esto, añadió, las empresas deberían “restringir los archivos adjuntos HTML a menos que sean esenciales, y los s deberían tratar los archivos HTML desconocidos de la misma manera que tratarían un enlace sospechoso: no abrirlos a menos que estén completamente seguros del remitente”.
Si recibe una comunicación entrante con un enlace o archivo adjunto HTML, no interactúe, dijo Velasquez, del ITRC.
“No hagan clic en los enlaces, gente. Ese es el mensaje principal”, dijo. En su lugar, vayan a la fuente: llamen al número de teléfono que aparece en el reverso de su tarjeta de crédito o acudan al banco en persona.
Trucos de autenticación multifactor
Si eres una de las muchas personas que usa la autenticación multifactor, tenlo en cuenta.
La autenticación multifactor sigue siendo muy útil y debería usarse.
Sin embargo, Cristescu señaló una forma en que los estafadores están utilizando esta herramienta —diseñada para aumentar la seguridad de las cuentas en línea— para infiltrarse.
A modo de recordatorio, la autenticación multifactor es una capa adicional de protección que impide que los ladrones de datos inicien sesión en tus cuentas si conocen tu nombre de y contraseña. Ayuda a garantizar que seas tú quien introdujo tu contraseña al iniciar sesión, y no un estafador de Filipinas o Poughkeepsie.
Para usar la autenticación multifactor, normalmente descargas una aplicación, como Google Authenticator o Microsoft Authenticator. Registras tus cuentas en línea confidenciales, como las de Facebook, banco o correo electrónico, con esa aplicación. Luego, cada vez que inicias sesión en un sitio web registrado, la aplicación de autenticación genera un nuevo código aleatorio que debes ingresar después de tu contraseña como segunda capa de verificación.
Con el auge de esta protección, ha surgido una nueva amenaza: estafadores que tienen tu nombre de y contraseña pueden enviar solicitudes de inicio de sesión a tu aplicación de autenticación. Después, el estafador puede hacerse pasar por un experto en informática de tu empresa y pedirte que apruebes la solicitud.
Si caes en la trampa, ¡zas!: el estafador ya está dentro.
Esta técnica “explota la frustración y la confianza del en el departamento de TI. Si recibes múltiples solicitudes (del autenticador) que no iniciaste, no se trata de un fallo técnico, sino de un ataque”, afirmó Cristescu. Recomienda pausar, no aprobar nunca estas solicitudes inesperadas y denunciar la interacción con el departamento de TI.
Velasquez añadió que si recibes una notificación del autenticador y no iniciaste sesión tú mismo, “es una gran señal de alerta. Detente y abórdalo. No lo ignores”.
Siempre que interactúes con el departamento de TI, asegúrate de ser tú quien inicia el o, añadió. Si alguien del departamento de TI te llama o te envía un correo electrónico, desconéctate y vuelve a arlo utilizando un método de confianza, como el mismo número de teléfono al que siempre llamas.
Invitaciones falsas al calendario
Una tercera técnica que utilizan los ladrones de datos son las invitaciones al calendario.
“Me enfurece mucho esto”, dijo Velasquez. “Es muy difícil de detectar”.
A continuación, te indicamos qué debes tener en cuenta. Si usas un calendario en línea como Google Calendar o la app de calendario nativa de iPhone, podrías recibir una invitación a un evento inesperado. A veces, estas reuniones son legítimas. A veces, no.
Los estafadores “ahora envían solicitudes de reunión con enlaces maliciosos incrustados en el botón de invitación o de ‘unirse’. Estas invitaciones se sincronizan directamente con los calendarios y, a menudo, pasan desapercibidas”, según ZeroBounce.
Los estafadores usan las invitaciones de calendario porque tienen “credibilidad innata; no suelen ser examinadas como los correos electrónicos”, afirmó Cristescu. Busca solicitudes de reunión de remitentes desconocidos y nombres de eventos imprecisos como “Sincronización” o “Revisión de proyecto”, añadió.
En algunos trabajos o roles, otras personas —clientes, clientes potenciales, compañeros de trabajo, jefes, colegas— añaden reuniones a los calendarios de forma rutinaria.
“Me han llegado repetidamente”, dijo Velasquez, del ITRC. Dependiendo de tu estilo de vida, tu trabajo y cómo trabajes, estas invitaciones serán particularmente difíciles. Son invitaciones de calendario reales. El problema es que tienen software malicioso integrado, así que al hacer clic en partes de ellas, como “Haz clic para unirte”, es como abrir un archivo adjunto o hacer clic en un enlace sospechoso. Es el mismo principio.
Cristescu, de ZeroBounce, compartió este consejo: “Trátalos como si fueran correos electrónicos de phishing. Desactiva la aceptación automática siempre que sea posible y revisa cada invitación manualmente antes de hacer clic en nada”.
Nunca dejes de cuestionar lo que llega a tu bandeja de entrada o calendario, añadió Cristescu. “Verifica siempre la dirección de correo electrónico del remitente, asegúrate de que cualquier enlace en el que hagas clic coincida con el dominio legítimo y presta atención a señales de alerta sutiles, como errores ortográficos o un formato inusual”.
Un panorama general
“Estas tres (estafas) son tan comunes que probablemente le hayan ocurrido a cada persona que lee el artículo, al menos a una. Así de omnipresentes son”, dijo Velasquez.
Compartió esta idea más amplia: Es menos importante saber cómo responder a cada escenario y más importante detenerse, ser escéptico y volver a verificar.
Es importante ser cada vez más escéptico, porque la IA facilita cada vez más que los ladrones creen artimañas convincentes, dijeron Cristescu y Velasquez.
La IA “realmente ayuda a que estas ofertas de phishing parezcan y suenen mucho más legítimas”, dijo Velasquez. “Y con la cantidad de datos disponibles, provenientes de fuentes públicas y de filtraciones de datos, es muy fácil ver qué relaciones tienen las personas”. El lugar donde realiza sus operaciones bancarias y comerciales es un recurso para que alguien cree una página falsa diseñada para engañarlo y que inicie sesión.
Adopte una mentalidad de investigador, dijo Velasquez. Use este útil recordatorio: el acrónimo STAR, que significa Detenerse. Pensar. Preguntar o pedir ayuda. Reevaluar.
La organización sin fines de lucro ITRC puede responder preguntas de forma gratuita por teléfono y chat en vivo. Teléfono gratuito: 888-400-5530. Chat en vivo atendido por personas, no por bots: https://www.idtheftcenter.org/victim-help-center.
Original Story
This is the phishing scam that gets a San Diego identity theft expert ‘really, very angry’
