Phishing y bots: la nueva estrategia de ciberdelincuentes para robar códigos de 2FA, advierte Kaspersky
Escrito por Jose de Jesus Prieto on 23/08/2024
La compañía ha descubierto más de 4,700 páginas de phishing creadas por los ciberdelincuentes para
vulnerar las cuentas de los usuarios.
Agosto de 2024
Entre marzo y mayo de 2024, las soluciones de Kaspersky detectaron más de 4,700
páginas de phishing apoyadas de bots automatizados (bots OTP), con el objetivo de
vulnerar las cuentas de usuarios protegidas con la autenticación de doble factor (2FA).
En la actualidad, diferentes plataformas digitales, como las redes sociales o la banca en línea,
permiten habilitar esta autenticación de dos factores, la cual consiste en validar la identidad de
un usuario a través de un segundo mecanismo de verificación (adicional a la contraseña
habitual), para que pueda acceder a sus perfiles; usualmente, se trata de un código de un solo
uso enviado por mensaje de texto, correo electrónico o una app específica, representando
una capa adicional de protección. El bot, empleado por los delincuentes, es un software
automatizado que solicita este código de 2FA a las víctimas con técnicas de ingeniería social
para engañarlas, robarlo y así acceder a sus cuentas.
¿Cómo funciona la ciberestafa?
Los sitios de phishing descubiertos por los expertos de Kaspersky imitan las páginas oficiales
de inicio de sesión de bancos, servicios de correo electrónico, entre otras plataformas en
línea. Cuando una persona intenta acceder a alguna de sus cuentas desde estos sitios e
introduce su nombre de usuario y contraseña, el ciberdelincuente roba esa información para
intentar ingresar, desde las plataformas oficiales, al perfil de la víctima quien; en caso de tener
activada la 2FA, recibirá el código en su dispositivo móvil.
Inmediatamente, el usuario recibe una llamada de un bot que simula ser empleado de una
empresa de confianza. Éste utiliza una grabación convincente para persuadirlo de que
comparta o introduzca por su cuenta, el código de seguridad que recibió en su dispositivo.
Con el código y la información que se acaba de proporcionar, el ciberdelincuente puede
ingresar a la cuenta de la víctima.
Sitio de phishing que imita el diseño de una página de inicio de sesión de banca electrónica
Los delincuentes prefieren hacer llamadas en lugar de enviar mensajes, ya que estas
aumentan las posibilidades de que la víctima responda rápidamente. Los bots automatizados
pueden imitar el tono y la urgencia de una llamada legítima, para hacerla más convincente;
otra de sus ventajas es que pueden controlarse a través de paneles en línea o plataformas de
mensajería como Telegram.
Además, tienen varias funciones y planes de suscripción: se pueden personalizar para
hacerse pasar por diferentes organizaciones, utilizan distintos idiomas e incluso, permiten
elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación
de números de teléfono para que el identificador de llamadas los registre a nombre de una
organización legítima.
“Cada vez es más fácil obtener los códigos 2FA. Antes, el delincuente lo hacía manualmente
al estilo man-in-the-middle; esperaba que la víctima introdujera el token por su cuenta en las
páginas de inicio de sesión al solicitárselo. Hoy en día, con los robots, este proceso se ha
automatizado, por lo que es fundamental estar atentos y utilizar las mejores prácticas de
ciberseguridad para protegernos y no convertirnos en víctimas”, afirma Fabio Assolini,
director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en
Kaspersky.
Aunque la autenticación de dos factores es una importante medida de ciberseguridad, no es
invulnerable. Para protegerte de estas sofisticadas estafas, Kaspersky te recomienda:
● Comprueba automáticamente si hay filtraciones de datos que afecten a tus
cuentas vinculadas a direcciones de correo electrónico y números de teléfono,
tanto tuyos como de tu familia. Si detectas una filtración, como mínimo, cambia tu
contraseña inmediatamente.
● Crea contraseñas fuertes y únicas para todas tus cuentas. Los estafadores sólo
podrán atacarte con bots OTP si conocen tu contraseña. Por tanto, genera claves de
acceso complejas y guárdalas de forma segura.
● Asegúrate de que estás en un sitio legítimo antes de introducir información
personal. Uno de los trucos utilizados por los estafadores es dirigir al usuario a un
sitio de phishing sustituyendo algunos caracteres en la barra de direcciones.
● Nunca compartas los códigos de un solo uso con nadie ni los introduzcas en el
teclado de tu teléfono durante una llamada. Recuerda que los empleados legítimos
de bancos, tiendas, proveedores de servicios, e incluso las autoridades, nunca te los
pedirán.
Más información sobre los bots OTP en Securelist y en el blog de Kaspersky.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de
mil millones dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques
dirigidos, la profunda experiencia en inteligencia de amenazas y seguridad de Kaspersky se está
continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a
empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portafolio
de productos de seguridad de la empresa incluye su reputada solución de protección para endpoints,
junto con una serie de soluciones y servicios de seguridad especializados, así como soluciones Cyber
Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de 220.000
clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica
Garrapatudo Radio