El INCIBE o Instituto de Ciberseguridad de España suele presentar casos reales para mostrar cómo podemos tener problemas de seguridad con pequeñas rutinas del día a día. Historias como menores compartiendo contenidos en OnlyFans o el deepfake que llegó a dañar la reputación de una empresa de refrescos en España muestran cómo podemos caer en trampas fácilmente. La historia de hoy habla de un trabajador que solo quería organizar una bonita presentaciòn para mostrar su proyecto y acabó en una web falsa.
El protagonista de la historia es Javier, que un día en la oficina, en su empresa de logística, durante el café, comentó con sus compañeros que buscaba hacer un pequeño diseño para la presentación de un proyecto, pero que no sabía qué herramienta usar. Una compañera le habló de una "conocida página web" que ayuda a hacer diseños de forma muy sencilla.
Javier fue a su PC y tecleó el nombre de la web que le dijo su compañera. En su buscador deseando acabar con esa tarea lo antes posible. Cuando abre la web encontró diseños llamativos que le servían para lo que necesitaba. Abrió la web y apareció un popup para registrarse en la plataforma. Para registrarse tenía que dar, como en muchas webs de la Red, su acceso de mail de Google.
Cómo acaba una web siendo phishing
Javier dice que suele mirar si la web es de confianza antes de dar sus credenciales . Dice que él había oído hablar del phishing y otras técnicas con las que los ciberdelincuentes robaban los datos y es que un conocido suyo fue víctima de un smishing al pulsar en un enlace de un SMS que parecía ser de su banco.
En este caso todo parecía estar en orden: la URL se veía correcta, tenía el candadito que muestra la seguridad… Javier ingresó su correo y contraseña, lo que le permitía elegir tipografías, imágenes y colores. Javier sintió que algo no iba bien. El inicio de sesión no le llevaba a ningún sitio, y no conseguía acceder. Fue a consultarlo con un compañero del departamento de informática, a ver si él sabía qué podía estar pasando.
Efectivamente, este pop up era un phishing que ya había robado la información privada de Javier (acceso a su cuenta de Google y, con ello, probablemente a muchas otras webs). Esta técnica de phishing se llama Browser in the Browser. El experto en informática actuó rápidamente: cambiar la contraseña de la cuenta que había sido vulnerada. Así evitar que alguien pudiera acceder a su mail y robar información privada. Javier no tenía doble autenticación por lo que acceder a sus cuentas es sencillo. Desde Genbeta recomendamos activarlo. Así puedes hacerlo en tu cuenta de Google, Facebook, Twitter, Instagram, Microsoft, etc
Browser in the Browser: así funciona
Esta técnica es un phishing pero en versión distinta del tradicional phishing muy reconocido. Mediante el ataque Browser in the Browser los ciberdelincuentes crean lo que parece una ventana emergente de un servicio legítimo.
Es falsa, pero ha sido "generada de forma segura, dentro del propio navegador", sefún explica el INCIBE. Para ello, lo ha hecho añadiendo a la página fraudulenta una barra de direcciones falsa, en forma de imagen, que parece ser legítima.
Explica la institución que "es como cuando hacemos una captura de pantalla de una web y, al ver la imagen desde nuestra galería, la confundimos con la propia web y tratamos torpemente de pinchar en alguna de las utilidades de la página, que claramente no nos lleva a ningún sitio".
Ver 10 comentarios