Detrás de las líneas enemigas en nuestra guerra contra los secuestradores de cuentas

Opinión: Son más las personas que se preocupan por el hackeo de sus cuentas que por el robo en sus hogares.

Una encuesta reciente en los EE.UU. mostró que son más las personas que se preocupan por el hackeo de sus cuentas que por el robo en sus hogares. Es por eso que seguimos trabajando duro para mantener las cuentas de Google seguras. Nuestras defensas mantienen a la mayoría de los malhechores fuera y hemos reducido los secuestros de cuenta en más de un 99% en los últimos años.

Hacemos un seguimiento de muchas amenazas potenciales, de secuestros masivos de cuentas (típicamente utilizados para enviar una gran cantidad de correo no deseado) a los ataques patrocinados por el Estado (altamente dirigidos, a menudo con motivaciones políticas).

Esta semana estamos lanzando un estudio acerca de otro tipo de amenaza que hemos denominado “secuestro de cuenta manual“, en la que atacantes profesionales pasan un tiempo considerable explotando la cuenta de una sola víctima, a menudo causando pérdidas financieras. Aunque estos ataques son poco frecuentes – 9 incidentes por millón de usuarios por día – a menudo son severos, y el estudio de este tipo de secuestrador de cuentas nos ha ayudado a mejorar nuestras defensas contra todo tipo de secuestro de cuentas.

Los secuestradores de cuentas manuales a menudo se meten en las cuentas a través del envío de mensajes de phishing destinados a engañar a los usuarios para que entreguen su nombre de usuario, contraseña y otra información personal. Para este estudio, se analizaron varias fuentes de mensajes de phishing y sitios web, observando tanto la forma en la que operan los secuestradores de cuentas, como la información sensible que buscan una vez que adquieren el control de una cuenta. Estos son algunos de nuestros hallazgos:

  • Simple pero peligroso: La mayoría de nosotros pensamos que somos demasiado inteligentes como para caer en el phishing, sin embargo, nuestra investigación encontró que algunos sitios web falsos logran su cometido un increíble 45% de las veces. El sitio falso promedio tiene éxito el 14% de las veces, e incluso los sitios falsos más obvios se las arreglan para engañar al 3% de los receptores. Teniendo en cuenta que un atacante puede enviar millones de mensajes, estos índices de éxito no son despreciables.
  • Rápidos y exhaustivos: Se accede a alrededor del 20% de las cuentas de secuestradas dentro de los primeros 30 minutos en que un hacker obtiene la información de inicio de sesión. Una vez que se han metido en una cuenta que quieren explotar, los secuestradores pasan más de 20 minutos en ella, a menudo cambiando la contraseña para bloquear al verdadero propietario, buscando otros datos de cuenta (como los de su banco o cuentas de medios sociales) y estafando a nuevas víctimas.
  • Personalizados y dirigidos: Luego, los secuestradores de cuentas envían mensajes de correo electrónico de phishing desde la cuenta de la víctima a todos los contactos en su libreta de direcciones. Debido a que sus amigos y familiares piensan que el correo electrónico proviene de ustedes, estos correos electrónicos pueden llegar a ser muy eficaces. Las personas en la lista de contactos de las cuentas secuestradas tienen una probabilidad 36 veces mayor de ser víctimas de un secuestro de cuenta.
  • Aprenden rápido: Los secuestradores de cuentas cambian rápidamente sus tácticas para adaptarse a las nuevas medidas de seguridad. Por ejemplo, después de que empezamos a pedirle a la gente que responda una pregunta (por ejemplo, “¿Desde qué ciudad inicias sesión más a menudo?”) al iniciar sesión desde una ubicación o dispositivo sospechoso, los secuestradores de cuentas comenzaron, casi de forma inmediata, a hacer phishing diseñado para obtener dichas respuestas.

Hemos utilizado los hallazgos de este estudio junto con nuestros esfuerzos de investigación en curso para mejorar los sistemas de seguridad que tenemos implementados. Sin embargo, ustedes nos pueden ayudar también.

  • Manténganse vigilantes: Gmail bloquea la gran mayoría de los correos de spam y phishing, pero sean cautelosos con los mensajes que les solicitan información de inicio de sesión o datos personales. Nunca contesten a estos mensajes; en lugar de eso, repórtenlos con nosotros. Ante la duda, visiten el sitio web directamente (no mediante el enlace en el correo) para revisar y actualizar su información.
  • Recuperen su cuenta rápidamente: En caso de que su cuenta se encuentre alguna vez en riesgo, es importante que tengamos una manera de contactarlos para confirmar que ustedes son los verdaderos propietarios. Por eso les recomendamos enérgicamente que configuren un número de teléfono o una dirección de correo electrónico de recuperación (pero asegúrense de que la cuenta de correo utiliza una contraseña segura y que se mantiene actualizada para evitar que sea suspendida por falta de uso).
  • Verificación en dos pasos: Nuestro servicio gratuito de Verificación en dos pasos ofrece una capa adicional de seguridad en contra de cualquier tipo de secuestro de cuenta. Además de su contraseña, usarán su teléfono para comprobar que ustedes son realmente los propietarios de la cuenta. Recientemente añadimos una opción para iniciar sesión mediante un dispositivo USB.

Visiten nuestra página sobre cómo mantener protegida su cuenta y dediquen algunos minutos para comprobar que tenemos su información de contacto y que sus opciones de seguridad están al día.

Por Dr. Elie Bursztein, Líder de investigación antiabuso, Google

Ilustración: Fotografía frontis de Google por Ken Wolter © Shutterstock.com y Elie Bursztein


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022