¿Cómo funciona el ataque a Gmail en el que hasta los más expertos caen?

ataque-phising-gmail

A pesar de que la mayoría de la gente tiene la creencia de que los hackeos y robos de cuentas se producen gracias a ataques que emplean tecnologías muy sofisticadas, en la mayoría de los casos se suelen tratar de fallos humanos incitados por lo que se conoce como ingeniería social. Y así ha sucedido en el que vamos a ver a continuación, en el que, aunque también hay un lado técnico con una sofisticación nada despreciable, este estaba dirigido a que incluso aquellos con mayores habilidades tecnológicas cayesen en la trampa.

Estamos hablando de un ataque de phishing que, según WordFence, lleva circulando por la red desde hace cerca de un año. Sin embargo, ha vuelto a cobrar relevancia debido a que recientemente las víctimas están siendo usuarios con conocimientos avanzados de tecnología; es decir, usuarios de los que no esperarías que cayesen presa de este tipo de trampas ya que suelen estar al tanto de la actualidad tecnológica y saben lo que hay que saber para evitar estos ataques y, además, lo aplican. Pero es que el método utilizado está tan bien elaborado, a pesar de ser en apariencia simple, que hasta los mejores parecen haber caído en él.

¿Y en qué consiste el ataque? Primero hay que decir que se efectúa a través de Gmail y que, como la mayoría de los ataques de phishing, todo empieza por la recepción de un correo. Pero se trata de un correo especial pues, para empezar, parece que proviene de uno de nuestros contactos. Hasta ahí, nada novedoso. Lo novedoso viene cuando incluye detalles que hacen pensar que es genuino. Sí, porque no se trata de las típicas ofertas de pastillas para la virilidad o de notificaciones de envíos falsos, sino que el correo tiene un asunto que suena plausible e incluye un adjunto que también parece lógico por parte de quien viene.

Y es en el adjunto donde está tendida la trampa. Este puede ser, por ejemplo, una imagen. Al hacer clic en ella, se abre lo que parece una página de Gmail para introducir de nuevo las credenciales, algo que Google suele hacer ante comportamientos sospechosos o por simple medida de seguridad con cierta aleatoriedad. Pero claro, esa página no es real. Sin embargo, como todos los factores involucrados hasta el momento no despiertan las alarmas del usuario, pues la da por buena, introduce sus datos para identificarse y la cuenta está comprometida en ese mismo momento. Desde entonces, los estafadores usarán esa cuenta para encontrar nuevas víctimas a partir de su lista de contactos repitiendo la misma técnica.

¿Hay solución?

Pues como suele ocurrir en el caso de ataques sofisticados como estos en los que las medidas de seguridad de Google son sorteadas con bastante habilidad, lo único que podemos hacer es estar atentos.

La medida principal de seguridad es cambiar de manera regular la contraseña de Gmail. Así, en el caso de que la cuenta esté comprometida sin que nosotros lo sepamos, dejará de estarlo en el momento que cambiemos esta importante parte de las credenciales. Hacer uso de la identificación de dos pasos también es más que recomendable, pues así redoblamos la seguridad.

La otra medida es fijarse bien en la URL desde donde nos están pidiendo nuestras credenciales. Normalmente, es allí donde podemos detectar si lo que tenemos ante nuestros ojos es un intento de robar nuestros datos. En este caso concreto, la URL debe comenzar con «https://accounts.google.com». Si antes del bloque HTTP pone «data:text/html», cuidado. No pongas nada allí.

A continuación, cierra inmediatamente la pestaña, limpia el caché, cambia tu contraseña solo por si acaso, y reporta el correo. Como paso adicional, sería bueno que te pongas en contacto con la persona desde donde se supone que a venido el ataque para indicarle que es posible que su cuenta esté comprometida y para que, si necesita comunicarse contigo, lo haga empleando otro canal u otra cuenta.