Como hemos explicado en más de una ocasión, cada vez es más “sencillo” ser un ciberdelincuente. Existen crime packs en la red que permiten lanzar ataques con un solo clic, sin necesidad de contar con grandes conocimientos informáticos.

Pero hay algunos trucos que se pueden llevar a cado que ni siquiera necesitan una herramienta para llevarlos a cabo, solamente hay que aprovecharse del funcionamiento y posibles fallos en las características de los propios servicios. Lo mismo que ocurre con el caso de WhatsApp, que permite hacerse con la cuenta de cualquier usuario de forma bastante sencilla precisamente por las características del propio servicio.

Todos recibimos mensajes y llamadas spam en nuestros teléfonos móviles de estafadores que buscan nuestros datos personales y nuestro dinero. Pero hay un nuevo tipo de ataque basado en la ingeniería social que hace uso solamente de tu número de teléfono para realizar la estafa.

La firma de seguridad Symantec ha alertado acerca de un fraude relacionado con la recuperación de contraseñas que engaña a los usuarios para entrar en su cuenta de correo.

Para ello, el atacante no necesita saber código tener grandes capacidades. Lo único que necesita es saber tu cuenta de email y tu número de teléfono.

Desde que el proceso para resetear la contraseña es similar en casi todos los servicios de email, este fraude puede afectar a la mayoría de los servicios, como Gmail, Yahoo o Outlook.

Cómo funciona

Symantec ha distribuido un vídeo explicativo para mostrar cómo funciona.

Es sencillo, y hasta de sentido común. El atacante sólo tiene que enviar un mensaje de texto desde un número desconocido al teléfono de la víctima, pidiendo que verifique su cuenta mediante la respuesta con el código de verificación que va a recibir, para asegurarse de que su cuenta de (Google, Outlook, etc) es segura. Después envía otro mensaje de texto con un código de desbloqueo al móvil de la víctima. Esta recibirá un código por parte de la compañía de email con un texto similar a este “Ha habido una actividad no autorizada en su cuenta. Por favor, responda con su código de verificación”. Cuando la víctima responda con el código de verificación, el atacante podrá logearse en el Gmail de la víctima sin ser detectado.

La intención no es enseñar a los usuarios a llevar a cabo este tipo de estafas, sino informar de su existencia para poder prevenir fraudes. La concienciación e información en ciberseguridad es básica para evitar ser engañados en Internet.

Precisamente la compañía de seguridad alerta: los mensajes legítimos de recuperación de contraseñas sólo te darán el código de verificación, y nunca te solicitarán que respondas de ninguna manera.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

1 comentario

Deja un comentario