Este phising es tan sofisticado que si no prestas atención y sabes de tecnología, te la cuela
La suplantación de identidad o phising está a la orden del día y nos llega desde diferentes vías y emulando ser actores relevantes en nuestro día a día: nuestro banco, Correos, la comercializadora de energía y hasta la todopoderosa Google. Escapar del pishing no es tan fácil como antes: no basta con fijarse en el texto y posibles erratas, imágenes pixeladas o enlaces cuyo texto evidencia que estamos ante alguien que dice ser que no es.
De hecho, el phising es cada vez más sofisticado, tanto que hasta pueden hacer dudar a un experto en tecnología como Andrés Torrubia, ingeniero y emprendedor especializado en Deep Learning, cofundador de Medbravo y alguien recurrente cuando toca hablar de Inteligencia Artificial en Xataka: de lo que podrá hacer la IA en una década, de cómo empezar con la IA o qué PC montarse para trabajar con IA.
Este mensaje parece de Google porque está en Google
Andrés Torrubia contaba hace escasos días que había recibido un mensaje supuestamente de Google que parecía tan real que le saltaron todas las alarmas. El SMS en cuestión decía en inglés que "Alguien está intentando recuperar tu cuenta de Google. ¿No eres tú? Toca en [enlace] para rechazar esta petición y revisar tu cuenta".
El mensaje en cuestión llegaba en el mismo hilo de otros mensajes de Google, por lo que no despertaba sospechas. El enlace también parecía real (de hecho, lo era), así que pinchó en esa URL corta que le llevó a una página de inicio de sesión de Google. Torrubia lleva a cabo una buena práctica de seguridad: analizar de arriba a abajo esa web, constatando que tiene el candado, por lo que es una conexión segura y de Google.
Como explica el ingeniero, estamos ante una suplantación de identidad avanzada: los atacantes han usado el Google Site Builder para hacer una pagina de login albergada en Google Sites para que parezca de Google tanto a nivel de diseño como de dominio, por lo que a simple vista podría colar. Asimismo, cuenta que la actualizan cada minuto, probablemente para esquivar que analizadores automáticos detecten que su misión es capturar contraseñas.
Andrés Torrubia da la mejor medida de seguridad posible para evitar este tipo de estafas, una buena práctica a aplicar siempre que nos llegue cualquier mensaje que nos invite a introducir una contraseña: "Nunca uses el mismo canal con el que te avisan de algo de seguridad para hacer cualquier proceso de seguridad". O lo que es lo mismo, que si el banco te avisa de cualquier intento de operación y te adjunta un enlace para verificar, no lo uses: ve a la app de tu banco y prueba. O en este caso, ve a la app de Google o a tu cuenta de Gmail y accede en busca de esa información o de la opción de cambiar la contraseña. De forma independiente, nunca siguiendo enlaces.
En la propia publicación del experto en tecnología alguien menciona también una nueva función de implementación este 2025 en el Plan contra las estafas telefónicas y por SMS del Gobierno del estado: los SMS fraudulentos ya no podrán llegar a la misma carpeta o hilo que uno oficial, ya que habrá una base de datos con nombres o códigos alfanuméricos verificados, para que no se hagan pasar por un banco, compañía o administración.
En Xataka Móvil | Mucho cuidado con los archivos SVG adjuntos en correos: cada vez se usan más para estafar y hay una razón
En Xataka Móvil | Si tu móvil ya no recibe actualizaciones, no lo tires: cinco recomendaciones para mantener tu teléfono lo más seguro posible
Ver todos los comentarios en https://www.xatakamovil.com
VER 1 Comentario