Si alguna vez te has preguntado por qué los ciberdelincuentes se interesan por tus contraseñas de mensajería instantánea…
…pues no es sólo para poder colarse en tu cuenta y husmear en tus datos personales con vistas a abusar ellos mismos o venderlos a alguien que sí lo haga.
El acceso a tu cuenta también da a los ladrones un nivel de acceso de confianza a tus amigos y familiares que hace que las estafas de todo tipo sean mucho más fáciles de llevar a cabo.
Ya sea para lanzar un plan de inversión falso, para atraer a alguien a una página de inicio de sesión falsa, para persuadirle de que envíe un formulario de solicitud para un trabajo inexistente o, simplemente, para conseguir que malgaste su dinero en cosas inútiles, sobrevaloradas y de mala calidad…
…bueno, es mucho más probable que un estafador sea capaz de convencerte de que hagas clic en un enlace utilizando un mensaje que realmente proviene de la cuenta de un amigo que si simplemente te contactan de la nada.
De hecho, muchos usuarios limitan deliberadamente sus «círculos de contacto» en las redes sociales y los servicios de mensajería instantánea, no sólo por razones de privacidad, sino también para reducir el tipo de mensajes no solicitados, spams y estafas que soportan a través del correo electrónico.
Una amenaza para los que te rodean
Un estafador con tus contraseñas de mensajería instantánea o redes sociales no sólo es una amenaza para ti, sino también para los que te rodean, como descubrió esta tarde uno de nuestros lectores cuando recibió una nota de un amigo a través de Facebook Messenger que decía:
¿Eres tú el del vídeo
De alguien que no conoces, una pregunta así caería entre lo extraño y lo espeluznante, pero de un amigo, ¿quién no querría echar un vistazo?
No hay vídeo, por supuesto: la imagen negra enlaza con un servicio de acortamiento de URL, que a su vez redirige a una URL que muestra lo que parece una página de inicio de sesión de Facebook:
La URL (redactada arriba) claramente no tiene nada que ver con Facebook – es un nombre de servidor generado al azar en una plataforma de alojamiento web húngara – y, como se puede ver en el icono del candado tachado en la barra de direcciones, el sitio utiliza HTTP y no HTTPS.
Facebook fue uno de los primeros en adoptar el HTTPS para todo, abandonando el HTTP por completo en 2012, por lo que cualquier página que diga representar a Facebook pero que no tenga HTTPS es una falsificación sin reconstruir.
Desgraciadamente, al poner tu nombre de usuario y contraseña en la página de inicio de sesión falsa de arriba se enviarían a un servidor que funciona en un servicio de alojamiento web de bajo coste en los Estados Unidos, utilizando un nombre de dominio de aspecto vagamente legítimo que fue registrado hace menos de un mes.
Nuestro lector asumió inmediatamente que su amigo había recibido recientemente un mensaje similar (tal vez incluso idéntico), y no sólo había hecho clic, sino que había intentado iniciar sesión, entregando su contraseña a los ladrones y asegurándose así de que todos sus contactos recibirían pronto spam.
Después de la página de inicio de sesión falsa
Esta estafa va más allá – no sabemos si como una distracción para ganar un poco de tiempo antes de que las víctimas se den cuenta de que han sido engañadas y se apresuren a cambiar sus contraseñas de Messenger, o simplemente para dar a los ladrones un segundo bocado de la cereza.
Después de introducir la contraseña, se produce un breve retraso, como es de esperar al iniciar sesión en cualquier servicio en línea, tras el cual los delincuentes parecen elegir entre una serie de otras estafas y te redirigen a una de ellas al azar.
No parece que las lleven a cabo los mismos delincuentes, por lo que suponemos que los delincuentes que envían mensajes simplemente esperan cobrar «cuotas de afiliación» de otros delincuentes en la clandestinidad.
Estas estafas de «segunda redirección» variaban desde ofertas engañosas de VPN hasta una gama de esas ofertas telefónicas «gratuitas» en las que todo lo que hay que hacer es pagar una modesta cuota de envío (1,95 libras en las variantes que vimos aquí), dando así a los ladrones una excusa creíble para recoger los datos de su tarjeta de crédito.
¿Qué hacer?
- Utiliza 2FA en cualquier cuenta que puedas. Añadir un segundo factor de autenticación significa que los ladrones no pueden suplantar tu contraseña solos y luego acceder a tu cuenta. El 2FA es un inconveniente menor para ti, pero un gran obstáculo para los ciberdelincuentes.
- Si crees que la cuenta de tu amigo ha sido hackeada, ponte en contacto con él por otro método. No respondas a través de la misma cuenta en la que no confías: si se trata de una estafa, sólo estarás avisando a los delincuentes, que te mentirán y te dirán que todo está bien.
- Si un amigo te avisa de que tu cuenta ha sido hackeada, no te demores. Entra en tu cuenta tan pronto como puedas (¡sin hacer clic en ningún enlace que te hayan enviado!), suponiendo que aún puedas acceder a ella, y cambia tu contraseña de inmediato para que la antigua sea inútil para los delincuentes.
- Utiliza un gestor de contraseñas. Los gestores de contraseñas ayudan de muchas maneras: obtienes automáticamente una contraseña diferente para cada sitio; obtienes contraseñas que son aleatorias y no pueden ser adivinadas; es más rápido cambiar tu contraseña si te hackean; y es mucho más difícil que te hagan phishing porque tu gestor de contraseñas no pondrá la contraseña correcta en el sitio equivocado.
- Usa un antivirus con un filtro web incorporado. Los ataques de este tipo generalmente no se basan en el envío de malware a su ordenador, sino que se basan en engañarle para que cargue datos secretos como contraseñas desde su ordenador. Un filtro web ayuda a evitar que aterrice en páginas falsas en primer lugar y, por lo tanto, le protege de la suplantación de identidad. (Sophos Home tiene un filtro web; hay una versión gratuita para Windows y Mac).