ESET muestra cómo mantenerse a salvo de un ataque simple pero efectivo, y así evitar que alguien tome el control de la cuenta y la pérdida de dinero.
ESET, compañía líder en detección proactiva de amenazas, analizaron distintas medidas de seguridad y demostraron que se puede ser secuestrar una cuenta de WhatsApp o Snapchat si el usuario no tiene la configuración de seguridad adecuada. Analizando si es posible obtener el control de una cuenta de una plataforma financiera utilizando tácticas similares. El resultado fue que con la técnica “mirar por encima del hombro”, alguien podría robar el acceso a una cuenta de PayPal y perder así miles de dólares. Desde ESET muestran de qué manera lo hacen y comparten consejos para mantenerse a salvo de estos ataques
Para realizar esta última prueba de concepto (PoC, del inglés proof of concept), el investigador de ESET probó su hipótesis con un experto de la industria de la seguridad que accedió a enfrentarse a un hackeo en pos de contribuir a una mayor conciencia sobre la ciberseguridad y mejorar la prevención del fraude. Una vez reunidos comenzaron a charlar y el experto dejó su celular sobre la mesa con la pantalla hacia arriba. Lo que hizo el experto de ESET fue ingresar al sitio web de PayPal, seleccionar la opción: “olvidé mi contraseña”, e ingresar la dirección de correo electrónico personal del experto.
“En un ataque genuino, el criminal necesitaría saber la dirección de correo electrónico de la potencial víctima, pero en la actualidad, las direcciones de correo electrónico de muchas personas pueden encontrarse a través de algunas búsquedas. De hecho, Google, LinkedIn, e incluso Instagram, pueden mostrar tu dirección de correo electrónico, que es todo lo que se necesita para iniciar este ataque a cualquier usuario en plataformas similares”, agrega Moore.
La plataforma de PayPal solicita enviar un “control de seguridad rápido”, que puede ser mediante un mensaje de texto, un correo electrónico, una llamada telefónica, una aplicación de autenticación, un WhastApp, o incluso a través de preguntas de seguridad. En este caso, la opción era un mensaje de texto. Una vez que se dio clic en “Siguiente”, se generó el envió un código de seis dígitos al teléfono del experto, que continuaba con su celular desatendido sobre la mesa. Por lo que solo había que inclinarse hacia el teléfono, tocar la pantalla para prenderla y, al no haber deshabilitado la previsualización de los mensajes en la pantalla de bloqueo, ver el código. En caso de ingresarlo al sitio de verificación podría haber elegido una nueva contraseña y acceder a los datos de la cuenta. Una vez ahí, quién tenga acceso puede vincular fácilmente un banco o una tarjeta de crédito o incluso observar sus datos personales, como la dirección de la casa, mismo cambiar la dirección de correo electrónico de la cuenta, la dirección o el nombre.
Desde ESET destacan que hay muchas técnicas de prevención que el mismo usuario puede aplicar y disminuir considerablemente las posibilidades de las que los cibercriminales se intentan aprovechar. Por lo tanto, se debe estar atento y aplicar distintas medidas de prevención:
- No confiar en la autenticación en dos pasos basada en mensajes de texto; siempre que sea posible, utilizar una aplicación de autenticación o una clave de seguridad en su lugar.
- Nunca ignorar un código de confirmación. Si se recibes uno cuando no se lo espera, probablemente haya algo que necesite investigarse.
- Nunca descuidar el teléfono.
- Ocultar la previsualización de todos los mensajes de texto y otras notificaciones de aplicaciones.
- Si se pierde el teléfono o lo roban, comunicarse inmediatamente con el proveedor de telefonía para bloquear la SIM. Luego, utilizar la opción “Buscar mi” de Apple o “Encontrar mi dispositivo” de Google para localizar el teléfono y colocarlo en modo perdido.
- Utilizar una dirección de correo electrónico alternativa para PayPal, una que otros usuarios no puedan adivinar.
- Desactivar o cambiar las respuestas de seguridad de PayPal por contraseñas aleatorias que no estén relacionadas con la pregunta y guardarla en un administrador de contraseñas.
- Eliminar la opción que permite que el reconocimiento facial funcione con un Apple Watch mientras se usa una mascarilla.
About The Author
