Los hackers cada vez se las ingenian mejor para encontrar resquicios en la seguridad de nuestras cuentas y, en los últimos tiempos, han encontrado una nueva vía. Si bien es cierto que es algo recurrente que mejoren sus prácticas, el fraude digital se ha convertido en uno de los problemas más difíciles de aplacar por parte de las fuerzas de seguridad, sobre todo por las tretas utilizadas para burlar la seguridad de nuestros periféricos, incluso, a través de nuestras cuentas de correo.
Ese es el último camino tomado por los ladrones digitales es precisamente un nuevo modelo de phishing que se realiza a través de un correo que simula la notificación de un mensaje de voz. Esa notificación obliga a hacer click en un botón para escuchar el supuesto mensaje y, en vez de eso, logramos abrir las puertas al delincuente a nuestros datos. Lo que a todas luces parecería una acción inocente y sencilla se puede convertir en una pesadilla a la larga.
Así funciona el nuevo método de engaño en internet
Esta nueva estrategia simula ser un correo dirigido desde una página fiable, como la de la plataforma de Microsoft Dynamics. Una apariencia confiable, que hace que podamos, como poco, tener dudas de la procedencia del mensaje. Incluso consigue, gracias a este “disfraz” esquivar los firewall de correo e incluso evitar que nuestras cuentas califiquen al e-mail corrupto como spam.
Esa facilidad para deshacerse de las medidas de seguridad le favorece a la hora de engañar, finalmente, a quien está delante de su PC o de su smartphone, dirigiendo, tras el click, al usuario a una página de inicio de sesión de Google muy bien impostada, llegando a simular un CAPTCHA para dar sensación de normalidad y de proceso realista.
De esa manera, facilitan que el usuario se sienta seguro y no sospeche para, una vez ingresado usuario y contraseña, el malware se quede con todos esos datos a través de JavaScript, un proceso sencillo que le proporciona toda la información que pongamos en el proceso de login, incluyendo, si es caso, los códigos de verificación en dos pasos que este tipo de herramientas suelen usar para evitar intrusos.
Algo que, como se puede entender, es un paso catastrófico para nuestra seguridad. Lo peor de todo, es que después de todo esto… salta la página de Google con total normalidad, evocando un inicio de sesión fácil, seguro y rutinario y dejando a la víctima sin un atisbo de duda sobre el proceso que acaba de seguir. Y sin saber, claro, que acaba de ser cazado por un delincuente en la red. Todo lo robado, viaja a servidores en países remotos y se recopilan para procesos maliciosos.
¿Qué podemos hacer para evitar estas trampas?
Como casi siempre, ante estos ataques, lo mejor parece ser prevenir. Desconfiar siempre de correos inesperados que nos pidan dar cualquier tipo de información vía online sin una argumentación sólida que respalde esa necesidad de inicio de sesión. En raras ocasiones este tipo de peticiones son reales, por lo que es clave no caer. Además, como es común, suele darse la realidad de que los remitentes suelen identificarse de manera sencilla como maliciosos en cuanto prestamos atención.
De la misma forma, es muy arriesgado hacer click en enlaces de cualquier tipo siempre que nos llegue un mail. Cualquier correo sospechoso debe ser enviado a spam para prevenir que pueda acceder a nuestros datos y clausurar, de esa manera, las intenciones que pueda tener la persona o personas detrás del intento de obtención de mis datos. Utilizar passkeys o métodos biométricos es una alternativa más eficaz para evitar que las contraseñas escritas, que suelen ser débiles, puedan ser sustraídas con facilidad.