Two-Step Phishing, el nuevo ataque que roba tu información personal

La autenticación de dos pasos para ingresar de manera segura a sitios de internet, redes sociales, o a nuestro correo electrónico, está siendo utilizada por los delincuentes cibernéticos para robar información privada a través de una variante del phishing, advierte un análisis de la empresa de prevención Perception Point.

Se trata deuna nueva y sofisticada técnica con la que se engaña a los usuarios mediante la usurpación de la identidad de los mensajes que envían páginas de internet ampliamente conocidas. De hecho, se calcula que unos 400 sitios web han sido intervenidos para realizar este tipo de engaños, valiéndose de la autenticación de dos pasos.

El problema no es menor, pues el phishing en dos pasos se ha triplicado en el último año en todo el mundo, precisa el documento.

“En estos ataques, los actores de amenazas explotan cuentas de correo electrónico legítimas o servicios legítimos comprometidos”, además de sitios de alojamiento en los que el usuario ha programado su ingreso mediante la doble identificación.

A esta modalidad del phishing se le ha denominado Two-Step Phishing o phishing en dos pasos. Sus diferencias con el phishing tradicional es que ahora los ciberdelincuentes obtienen la información confidencial del usuario cuando este accede a una liga que se le envía luego de haber ingresado a un sitio legítimo o auténtico.

• ¡Cuidado! Advierten sobre ataque de ‘phishing’, afecta a usuarios de iPhone y suplanta Apple ID

Un robo más sofisticado

En términos generales, el phishing es una técnica de ingeniería social ilícita que se lleva cabo a través de correos electrónicos y sitios de internet fraudulentos, que simulan por completo a un emisor auténtico o a una página legítima.

Por ejemplo, son famosos los correos electrónicos que usurpan la identidad de los bancos o del Servicio de Administración Tributaria (SAT). En estos casos, con el phishing tradicional, el usuario recibe un correo electrónico en el que se imita un mensaje de la banca o de la autoridad fiscal.

Con esto se pide a la persona ingresar a una liga que ahí mismo se señala, la cual en realidad es un sitio infectado con malware, o una página que usurpa la identidad del banco. El objetivo es que el usuario introduzca sus datos en un sitio fraudulento.

El phishing tradicional es la forma más extendida que existe en internet para el robo de contraseñas. Sin embargo, debido a que esta clase de engaños ya son ampliamente conocidos, ahora los delincuentes han implementado un nuevo tipo de phishing, aprovechándose de la seguridad que nos proporciona la autenticación de dos pasos.

El estudio de Perception Point detalla que esta nueva variante se realiza de la siguiente forma:

• El usuario abre un sitio web legítimo en el que tiene programada la autenticación en dos pasos.

• Tras identificarse debe recibir en otro dispositivo (como el teléfono celular) un código temporal para poder tener acceso al sitio.

• En vez de recibir un código de la página auténtica, el mensaje que se le envía le informa que su contraseña ha caducado o es errónea, y se le pide ingresar a una liga.

• Al hacerlo el dispositivo móvil se infecta con un virus, o se accede a una página fraudulenta.

• El objetivo del engaño es que el usuario vuelva a ingresar su contraseña, o decida cambiarla pensando que en realidad está en un sitio seguro.

“El segundo paso del ataque ocurre cuando a los usuarios se les presenta otro elemento en el que se puede hacer clic en la página web o archivo aparentemente legítimo”, apunta Perception Point.

Este enlace los redirige a una página falsificada “para recopilar ilícitamente información confidencial, como credenciales de inicio de sesión o detalles de tarjetas de crédito”, agrega el estudio.

• LEE: WhatsApp y Facebook, donde más ciberacoso y violencia sufren jóvenes en México

Verificar al emisor, la única solución

El phishing en dos pasos es una amenaza importante, debido a que “muchas soluciones de seguridad tienen dificultades para detectar ataques” de este tipo. No obstante, esto no significa que la autenticación múltiple ya no deba utilizarse.

La solución para evitar caer en estos engaños es verificar que quien está enviando el código temporal, que es el segundo paso para ingresar a una página de internet, sea efectivamente ese sitio.

También es importante recordar que la autenticación múltiple debe hacerse en dispositivos distintos. Por ejemplo, entrar desde la computadora de escritorio al banco o al correo electrónico, y recibir el código en el celular o en un correo electrónico abierto en otra pestaña del navegador.

De igual forma, no hay que acceder a ligas de internet enviadas como si se tratara de un código temporal de identificación, o de una alerta que exige tu atención inmediata.

MÁS NOTICIAS:

• Adiós al INAI: Esto pierde México en transparencia y acceso a la información
• Johnson & Johnson anuncia inversión por 55,000 mdd en Estados Unidos
• Fed registra pérdidas por 77,600 mdd en 2024: hila dos años en déficit
• Dow Jones avanza 1.2% e interrumpe racha de dos semanas de pérdidas
• Musk, ¿en crisis? La cifra de dueños que reemplazan sus Tesla alcanza máximos históricos

Surya Palacios Periodista y abogada, especialista en análisis jurídico y de derechos humanos. Ha sido reportera, conductora de radio y editora.