Crece uso de phishing y bots para robar cuentas protegidas con 2FA: Kaspersky
agosto 19, 2024Entre marzo y mayo de 2024, Kaspersky detectó más de 4,700 páginas de phishing que utilizaron bots automatizados (bots OTP) para intentar vulnerar las cuentas de usuarios protegidas con autenticación de doble factor (2FA). Estas páginas fraudulentas buscaban obtener los códigos de verificación adicionales que ofrecen una capa extra de seguridad.
Actualmente, diversas plataformas digitales, incluidas redes sociales y servicios de banca en línea, permiten habilitar la autenticación de dos factores. Este método valida la identidad del usuario mediante un segundo mecanismo de verificación, como un código de un solo uso enviado por mensaje de texto, correo electrónico o una app específica. El bot empleado por los delincuentes solicita este código a las víctimas utilizando técnicas de ingeniería social, logrando engañarlas para robarlo y acceder a sus cuentas.
Los sitios de phishing descubiertos por Kaspersky imitan las páginas oficiales de inicio de sesión de bancos y otros servicios. Cuando un usuario intenta acceder a su cuenta desde uno de estos sitios y proporciona su nombre de usuario y contraseña, los delincuentes roban esa información para intentar ingresar al perfil desde las plataformas legítimas.
En caso de que el usuario tenga activada la 2FA, recibirá el código de seguridad en su dispositivo móvil. Inmediatamente, un bot automatizado lo contacta por teléfono, simulando ser un empleado de una empresa de confianza. Utilizando una grabación convincente, el bot persuade al usuario para que comparta o introduzca el código de seguridad, permitiendo al ciberdelincuente acceder a la cuenta.
Los delincuentes prefieren hacer llamadas en lugar de enviar mensajes, ya que las llamadas incrementan las posibilidades de obtener una respuesta rápida. Los bots pueden imitar el tono y la urgencia de una llamada legítima, haciéndola más convincente. Además, los bots son controlados desde paneles en línea o plataformas de mensajería como Telegram.
Estos bots ofrecen múltiples funciones y opciones de personalización, permitiendo que se hagan pasar por diferentes organizaciones, utilizar distintos idiomas e incluso elegir entre voces masculinas y femeninas. Las funciones avanzadas permiten también la suplantación de números de teléfono, haciendo que el identificador de llamadas registre el número como si fuera de una organización legítima.
Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, señaló que hoy en día es más fácil obtener los códigos 2FA gracias a estos bots automatizados. Antes, los ciberdelincuentes lo hacían manualmente al estilo man-in-the-middle, esperando que la víctima introdujera el token por su cuenta en la página de inicio de sesión solicitada.
Assolini subrayó la importancia de estar atentos y utilizar las mejores prácticas de ciberseguridad para protegerse y evitar convertirse en víctimas. A medida que los métodos de ataque evolucionan, la necesidad de mantener una vigilancia constante y educar a los usuarios sobre estos riesgos es crucial.
Para protegerte de estas sofisticadas estafas, Kaspersky te recomienda:
- Comprueba automáticamente si hay filtraciones de datos que afecten a tus cuentas vinculadas a direcciones de correo electrónico y números de teléfono, tanto tuyos como de tu familia. Si detectas una filtración, como mínimo, cambia tu contraseña inmediatamente.
- Crea contraseñas fuertes y únicas para todas tus cuentas. Los estafadores sólo podrán atacarte con bots OTP si conocen tu contraseña. Por tanto, genera claves de acceso complejas y guárdalas de forma segura.
- Asegúrate de que estás en un sitio legítimo antes de introducir información personal. Uno de los trucos utilizados por los estafadores es dirigir al usuario a un sitio de phishing sustituyendo algunos caracteres en la barra de direcciones.
- Nunca compartas los códigos de un solo uso con nadie ni los introduzcas en el teclado de tu teléfono durante una llamada. Recuerda que los empleados legítimos de bancos, tiendas, proveedores de servicios, e incluso las autoridades, nunca te los pedirán.
