ACTUALIZADO 15 de marzo de 2017 con información de que Google ha actualizado el navegador Chrome para que ataques como este sean más fáciles de detectar.

Un nuevo estilo de ataque de suplantación de identidad la orientación a los usuarios de Gmail reafirma los mejores consejos fáciles de seguir que ofrecemos a todos: Activar Autenticación de dos factores. El último ataque tiene como objetivo engañar a los usuarios para que ingresen sus credenciales de inicio de sesión en un sitio que se parece a la página de inicio de sesión de Google.

Crédito: pathdoc / Shutterstock
(Crédito de la imagen: pathdoc / Shutterstock)


Esta noticia nos llega del sitio de seguridad de WordPress Wordfence, que informó del ataque la semana pasada y señaló que comenzó en 2016. La firma señala que la técnica de phishing ha afectado a "usuarios técnicos experimentados" en las últimas semanas, lo que sugiere que incluso los usuarios inteligentes pueden ser víctimas si no miran con suficiente atención.

MÁS: Guía de seguridad móvil: todo lo que necesita saber

Los usuarios son dirigidos a esta página de secuestro al hacer clic en una imagen en un correo electrónico que tiene el estilo de la interfaz de adjuntos de Gmail. Casi todo en la página de secuestro tiene una imagen perfecta, excepto su URL, que comienza con "datos: texto / html", que debería ser una señal de alerta para los usuarios con ojos de águila.

Crédito: Wordfence
(Crédito de la imagen: Wordfence)


Según un hilo de discusión en el foro tecnológico Combinador Y, después de que los usuarios ingresan sus contraseñas de Google en la página de inicio de sesión falsa (que usa todas las mismas animaciones que la real), sus cuentas de Gmail se ven comprometidas inmediatamente. No está claro si los atacantes están utilizando un servicio automatizado para realizar adquisiciones de cuentas con tanta rapidez, pero una vez que están en su cuenta de correo electrónico, la utilizan como arma para atacar a otros usuarios.

Lo que puedes hacer

Los usuarios pueden protegerse, como hemos dicho, utilizando Autenticación de dos factores de Google (2FA) que exigiría que cualquier persona que inicie sesión en la cuenta desde una cuenta no reconocida proporcione un segundo elemento de verificación, como un código enviado por Google al teléfono móvil del usuario legítimo o un llave de seguridad USB física que lleva el usuario legítimo.

Para activar 2FA, primero inicie sesión en Google, luego visite el Mi cuenta página, haga clic en "Iniciar sesión en Google" y haga clic en "Verificación en dos pasos".
La noticia de esta última estafa de phishing es una oportunidad para recordarle al lector que nunca recicle las contraseñas. Si bien su cuenta de Google puede estar protegida por 2FA, los atacantes podrían intentar iniciar sesión en otros sitios con la misma combinación de nombre de usuario y contraseña, solo para ver qué funciona. Asegúrese de que nada funcione usando un administrador de contraseñas para crear contraseñas únicas y difíciles de adivinar.


Por último, compruebe siempre las URL de las páginas que está viendo para buscar pistas como la cadena "data: text / html". En Chrome, no debe ingresar su nombre de usuario y contraseña en ninguna página que no tenga un ícono de candado verde al comienzo del campo de dirección.

ACTUALIZAR: Wordfence ha actualizado su publicación de blog para señalar que una actualización de Google Chrome deja en claro que la URL a la que se accede en esta estafa puede ser maliciosa al mostrar "NO SEGURO" en la barra de direcciones.

  • 12 errores de seguridad informática que probablemente esté cometiendo
  • Los mejores administradores de contraseñas móviles
  • 10 peores filtraciones de datos de todos los tiempos

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.