Cuando hablamos de los códigos de un solo uso y de las contraseñas, parece evidente que no debemos compartirlos con nadie pero, por lo visto, a veces se nos olvida.
Una petición de ayuda muy educada
Recientemente nos hemos encontrado con una nueva estafa phishing en la cual una persona recibe un mensaje SMS muy similar a este:
“Hola, no me conoce, pero su número de teléfono antes era el mío. Estoy intentando iniciar sesión en una cuenta antigua que está enlazada a este número, así que, le llegará un código de verificación mediante SMS. ¿Podría hacerme el favor y enviarme el código cuando lo recibiera? Si es mucha molestia, no hay problema.”
Como muchos sabéis, es cierto que, si no usas un número de teléfono durante un largo periodo, tu operador de móvil puede desconectarlo y venderlo a otra persona. Así que, es posible que tu número haya tenido otro propietario, sobre todo si lo has adquirido hace poco.
La solicitud está escrita en un lenguaje muy cortés y parece muy convincente. Las buenas personas aprecian la buena educación y la petición parece muy razonable, así que es muy probable que acepten. El código llega y el receptor lo envía al autor del SMS original, que responde con un profundo agradecimiento. Pero el buen samaritano no sabe que acaba de conceder acceso a sus cuentas.
¿Qué es lo que sucede?
Sobra decir que hay muy pocas posibilidades de que este mensaje lo haya escrito alguien que haya tenido el mismo número y necesite tu ayuda. El phishing es una explicación mucho más probable y, a continuación, te explicamos los pasos del ciberdelincuente.
En las profundidades del ciberespacio, el atacante descubre una dirección de correo electrónico (la tuya) enlazada a un número de teléfono (el tuyo). Si tienes o has tenido alguna vez una cuenta con Yahoo, Twitter o LinkedIn (o uno de los cientos de servicios menos conocidos que han filtrado recientemente información de sus usuarios), no es muy complicado descubrir el número enlazado a tu correo electrónico.
En primer lugar, el delincuente roba el acceso a tu correo. Para ello, necesita restaurar la contraseña. Cuando intenta restaurarla, el servicio envía un mensaje SMS con un código de verificación al número enlazado a la cuenta para confirmar que el que está intentando restablecer la contraseña es el propietario de la misma.
Pero antes de dar este paso, el estafador te escribe un SMS emotivo y conmovedor como el que hemos visto anteriormente. El código solo es válido durante unos minutos escasos, así que el atacante tiene que convencerte para que se lo envíes de inmediato.
Con el acceso a tu correo electrónico, el ciberdelincuente puede restaurar las contraseñas de todas tus cuentas enlazadas a esta dirección (redes sociales, otros servicios de correo, monederos online y demás), ya que los enlaces para restablecer contraseñas se envían a este correo. Como consecuencia, el atacante tiene acceso a todas tus cuentas y tú no.
Por ello, no deberías compartir ningún código de verificación que te llegue por SMS, aunque te pidan ayudan de la forma más agradable posible. Con un simple código pueden llegar a bloquear casi toda tu existencia online.
Cómo mantener tus cuentas a salvo
- Nunca compartas códigos de verificación con nadie, ni por SMS ni por teléfono.
- Activa la identificación de doble factor siempre que sea posible. De esta forma, aunque pierdas acceso a tu cuenta de correo electrónico, al menos podrás proteger las otras cuentas.
- Usa soluciones de seguridad en todos tus dispositivos, incluidos los móviles. Además de protegerte, te avisarán sobre cualquier troyano que intente usurpar tus códigos por SMS.