Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Los piratas informáticos utilizan correos electrónicos de suplantación de identidad para obtener códigos de Gmail de dos factores

La sabiduría convencional dice que agregar autenticación de dos factores (2FA) mantendrá sus cuentas a salvo de la mayoría de las estafas de phishing, pero una nueva ola de ataques automatizados sofisticados nos recuerda que 2FA no es infalible. Como sucede con todas las medidas de seguridad, es tan seguro como el eslabón más débil: el humano. La nueva campaña de phishing engaña a las personas para que entreguen sus detalles de la cuenta y sus tokens 2FA.

El informe proviene de Amnistía Internacional, que no suele publicar noticias sobre ciberseguridad. En este caso, Amnistía tiene interés en las cosas porque los ataques se han dirigido principalmente a activistas y periodistas de Oriente Medio y África del Norte. Como explica Amnistía, hay varias campañas de phishing distintas en curso que probablemente estén vinculadas.

En la campaña más sofisticada, los atacantes han apuntado a cientos de cuentas de Yahoo y Google utilizadas por activistas. El objetivo es evitar las protecciones de dos factores y obtener acceso a la cuenta. Al examinar los correos electrónicos sospechosos marcados por activistas en 2017 y 2018, Amnistía encontró enlaces que dicen ser alertas de seguridad. Sin embargo, redirigen a una página falsa que recopila detalles de la cuenta. Eso no es único, pero la siguiente fase lo intensifica.

Después de que el objetivo ingresara un nombre de usuario y contraseña, los sitios maliciosos iniciarían sesión en la cuenta de forma remota. Luego solicitó un código por SMS si la cuenta tenía dos factores habilitados. El sitio falso solicitó el código, que no parecería fuera de lo común: tendría que ingresar un código 2FA durante un inicio de sesión normal. Sin embargo, el sitio malicioso usó ese código para iniciar sesión en la cuenta de forma remota antes de que expirara el token. Se le pedirá al usuario que cambie su contraseña, que el atacante guardará para su uso posterior.

Una página de inicio de sesión de Gmail falsa que solicita el código 2FA.

La segunda y tercera campañas utilizaron tácticas similares pero se centraron en los usuarios de los servicios de correo electrónico encriptados Protonmail y Tutanota. En ambos casos, los atacantes registraron dominios aparentemente auténticos con páginas de inicio de sesión falsas. Desde entonces, estos dominios se han cerrado.

Amnistía Internacional cree que los estados del Golfo están detrás de las campañas de phishing, con la esperanza de recopilar información sobre disidentes y manifestantes en sus países. Dejemos que esto sea un recordatorio de que la autenticación de dos factores no es una solución milagrosa. Aún debe tener cuidado con los correos electrónicos con enlaces a páginas externas. Solo debe ingresar las credenciales de su cuenta en sitios que haya confirmado que son reales.