Paris
Threat Research

Mejoran la estafa de “inicio de sesión sospechoso”: ten cuidado en Navidad

El Black Friday ha quedado atrás, esa cosa del fútbol que hacen cada cuatro años ha terminado (enhorabuena -¡alerta de spoiler! – a Argentina), es el solsticio de verano/invierno (táchese lo que no proceda) y nadie quiere quedarse fuera de sus cuentas en las redes sociales, especialmente cuando es el momento de enviar y recibir felicitaciones estacionales.

Así que, aunque ya hemos escrito antes sobre este tipo de estafa de phishing, hemos pensado en presentarte un recordatorio oportuno del tipo de engaño que puedes esperar cuando los ciberdelincuentes intentan perder tus contraseñas de redes sociales.

Hacemos clic por ti

Como se supone que una imagen vale más que 1024 palabras, te mostraremos una secuencia de capturas de pantalla de una reciente estafa en las redes sociales que nosotros mismos recibimos.

En pocas palabras, hicimos clic para que tú no tuvieras que hacerlo.

Esta empezaba con un correo electrónico que pretende velar por tu seguridad y protección online, aunque en realidad está intentando socavar por completo tu ciberseguridad:

Aunque es posible que en el pasado hayas recibido correos electrónicos de aspecto similar de uno o varios de los proveedores de tus cuentas online, y aunque éste no tiene errores ortográficos o gramaticales flagrantes, de hecho, aunque fuera un correo electrónico auténtico de Instagram (¡no lo es!), puedes protegerte mejor simplemente no haciendo clic en ningún enlace que recibas por correo electrónico.

Si tienes tu propio marcador para las páginas de ayuda de Instagram, investigado y guardado cuando no estabas bajo ninguna presión de ciberseguridad, puedes simplemente ir a Instagram directamente.

De este modo, evitarás cualquier riesgo de que el texto azul (el enlace en el que se puede hacer clic) del correo electrónico te lleve por mal camino, independientemente de que sea real o falso, funcione o esté roto, sea seguro o peligroso.

El problema de hacer clic

Si haces clic, tal vez porque tienes prisa o porque te preocupa lo que pueda haber pasado con tu cuenta, entonces empiezan los problemas, con una página falsa que parece bastante realista.

Los ladrones fingen que alguien, presumiblemente alguien que disfruta de sus propias vacaciones en París, ha intentado acceder a tu cuenta:

Deberías sospechar del nombre del servidor que aparece en la barra de direcciones en esta estafa (lo hemos borrado aunque no se parecía en nada a instagram.com), pero podemos entender por qué tantos usuarios se ven atrapados por dominios falsos.

Esto se debe a que muchos servicios legítimos en línea hacen casi imposible saber qué esperar en la barra de direcciones, como explicó el experto de Sophos (y popular invitado del podcast Naked Security) Chester Wisniewski en el Mes de la Concienciación sobre Ciberseguridad.

En esta estafa, tanto si haces clic en [Este no era yo] como en [Este era yo], los estafadores te llevan por el mismo camino, preguntándote primero por tu nombre de usuario:

La redacción se ha vuelto un poco torpe en la siguiente pantalla, en la que los delincuentes piden tu contraseña, pero sigue siendo bastante creíble:

Un error falso

A continuación, los estafadores fingen que has cometido un error y te piden no solo que escribas tu contraseña por segunda vez, sino que también  añadas un poco más de información personal sobre tu ubicación:

No todas las estafas de phishing de este tipo utilizan el truco de “tu contraseña es incorrecta”, pero es bastante habitual.

Sospechamos que los estafadores hacen esto porque todavía circulan consejos de seguridad dudosos que dicen: “Puedes detectar fácilmente un sitio fraudulento introduciendo primero deliberadamente una contraseña falsa; si el sitio te deja entrar de todos modos, es obvio que no conoce tu contraseña real”.

Si sigues este consejo (por favor, no lo hagas: solo te da una falsa sensación de seguridad), podrías llegar a la peligrosa conclusión de que el sitio seguramente conoce tu contraseña real y, por tanto, debe ser auténtico, dado que parece saber que has introducido una contraseña incorrecta.

Por supuesto, los delincuentes pueden decir con seguridad que te equivocaste de contraseña la primera vez, aunque no fuera así.

Si te equivocaste , los delincuentes pueden simplemente fingir que “saben” que era incorrecta para atraparte y que continúes con la estafa.

Pero si estás seguro  que realmente pusiste la contraseña correcta, y por tanto el falso mensaje de error te hace sospechar es demasiado tarde, porque los estafadores ya te han timado.

Una última pregunta

Si sigues adelante, los estafadores intentarán sonsacarte un dato personal más, concretamente tu número de teléfono:

Y para que salgas suavemente de la estafa, los estafadores terminan redirigiéndote a la auténtica página de inicio de Instagram, como si quisieran invitarte a confirmar que tu cuenta sigue funcionando correctamente:

¿Qué hacer?

  • Lleva un registro de las páginas oficiales “verifica tu cuenta” y “qué hacer en caso de infracción” de las redes sociales que utilizas. De este modo, nunca tendrás que confiar en enlaces enviados por correo electrónico para solucionar posibles problemas. Además de advertencias de inicio de sesión falsas como la que se muestra aquí, los atacantes suelen utilizar violaciones de derechos de autor inventadas, infracciones inventadas de los Términos y Condiciones de tu cuenta y otros “problemas” falsos con tu cuenta.
  • Elige contraseñas robustas. No utilices la misma contraseña que en otros sitios. Si crees que puedes haber revelado tu contraseña en un sitio falso, cámbiala tan pronto como puedas antes de que lo hagan los delincuentes. Considera la posibilidad de utilizar un gestor de contraseñas si aún no tienes uno.
  • Activa la autenticación de dos factores (2FA) si puedes. Esto significa que tu nombre de usuario y contraseña solos no bastarán para iniciar sesión, porque tendrás que incluir un código de un solo uso, bien cada vez, o quizá solo cuando intentes utilizar por primera vez un dispositivo nuevo. Aunque esto no garantiza mantener alejados a los delincuentes, porque pueden intentar engañarte para que reveles tu código 2FA además de tu contraseña, no obstante, pone las cosas más difíciles a un atacante.
  • No compartas demasiado. Por mucho que hoy en día parezca común compartir gran parte de tu vida en Instagram, no tienes por qué mostrarlo todo. Además, piensa en quién o qué aparece en el fondo de tus fotos antes de subirlas, por si compartes de más información sobre tus amigos, familia o casa por error.
  • Mantente alerta. Si una cuenta o un mensaje te parecen sospechosos, no interactúes ni respondas a la cuenta y no hagas clic en los enlaces que te envíen. Si algo parece demasiado bueno para ser verdad, asume que ES demasiado bueno para ser verdad.
  • Considera la posibilidad de configurar tu cuenta de Instagram como privada. Si no intentas ser una persona influyente a la que todo el mundo pueda ver, y si utilizas Instagram más como una plataforma de mensajería para mantener el contacto con tus amigos íntimos que como una forma de hablarle al mundo de ti, puede que te interese poner tu cuenta en privado. Solo tus seguidores podrán ver tus fotos y vídeos. Revisa tu lista de seguidores con regularidad y echa a la gente que no reconozcas o que no quieras que te siga más.
Izquierda. Utiliza la opción “Privacidad” en la página de Configuración de Instagram para hacer que tu cuenta sea privada. Derecha. Activa el control deslizante “Cuenta privada”.
  • En caso de duda, no lo hagas. Nunca te apresures a completar una transacción o a confirmar información personal porque un mensaje te haya dicho que estás bajo presión de tiempo. Si no estás seguro, pide consejo a alguien que conozcas y en quien confíes en la vida real, para no acabar confiando en el remitente del mismo mensaje en el que no estás seguro de poder confiar. (Y consulta el primer consejo anterior).