Estamos en el último martes del mes, ¡es el turno del consultorio mensual de Maldito Timo! ¿Alguna vez has recibido un ataque de phishing en el que aparecía tu nombre? En esta nueva entrega, te explicamos por qué sucede esto y por qué es importante cuidar nuestros datos personales. También hablamos sobre el email spoofing, una técnica por la cual los timadores consiguen enmascarar la dirección de correo electrónico desde la que nos envían mensajes fraudulentos. El resultado es que el correo que recibimos parece enviado desde la dirección oficial de la institución o empresa que están suplantando. Por último, os contamos paso a paso qué hacer para recuperar nuestra cuenta de Instagram si nos la han robado.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
Aparece mi nombre en un intento de 'phishing' que he recibido, ¿por qué ocurre esto?
Sandra, una lectora de Maldita.es, recibió un SMS sospechoso, supuestamente de parte de Mediamarkt, en el que le anunciaban que había ganado un premio. Ya os alertamos de que este mensaje no era de la tienda de electrodomésticos, sino un intento de phishing. No obstante, el SMS fraudulento tiene un detalle que llama la atención: incluye el nombre y los apellidos de la receptora. Es más, si Sandra hacía clic en el enlace, este le redirigía a una web fraudulenta en la que también aparecían su nombre completo y su número de teléfono.
¿Cómo es posible que un ataque de phishing incluya nuestro nombre? Walter Verdejo, especialista en servicios de almacenamiento en línea y maldito que nos ha prestado sus superpoderes, explica que esto sucede porque alguien ha obtenido “legalmente o no” una base de datos con algunos de nuestros datos personales. El experto indica que cualquier programa de envío masivo de correos o SMS “acepta subir una hoja de Excel o un archivo en formato csv” y enviar un mensaje personalizado a cada persona de esa base de datos.
Los timadores pueden haber obtenido esa base de datos de varias formas. Por ejemplo, porque los datos personales de los clientes de una empresa se han visto comprometidos y puede que los ciberdelincuentes los hayan comprado en el mercado negro de la Dark Web.
También es posible que nos lleguen ataques de phishing dirigidos con nuestro nombre porque el dispositivo de alguno de nuestros contactos ha sido infectado con malware. Es el caso de los falsos SMS de Fedex que te invitaban a descargarte una supuesta aplicación de rastreo de tu paquete, con el objetivo de instalar un virus en tu móvil. La Policía Nacional advirtió de que en estos mensajes de texto fraudulentos podía aparecer tu nombre porque había sido “robado” de la agenda de un teléfono anteriormente infectado por el virus. Piensa que muchas aplicaciones nos piden que activemos permisos que dan acceso a diferentes funciones de nuestro teléfono, y uno de ellos es el acceso a nuestros contactos.
Susana Regalado, experta en ciberseguridad y también maldita, apunta que la mayoría de las veces somos nosotros mismos los que facilitamos nuestros datos personales (aunque sea sin darnos cuenta). Por ejemplo, en Maldita.es os contamos el caso de Nuria, una lectora que cayó en una falsa oferta de sartenes Tefal de Carrefour. Tras introducir sus datos personales en una web fraudulenta, recibió un falso SMS de Correos en el que se incluía su nombre y que la invitaba a pinchar en un enlace sospechoso.
Una fuga de datos, un dispositivo infectado de alguno de nuestros contactos, nuestros propios descuidos… Los motivos por los que nuestros datos personales se pueden ver comprometidos son muchos. El Instituto Nacional de Ciberseguridad (INCIBE) plantea otras posibilidades, como que cedamos datos a sitios web que se alojan en países en los que no se aplica el Reglamento General de Protección de Datos (RGPD) “y que ello derive en la cesión a terceros de manera no controlada”. También nuestros datos personales se pueden ver comprometidos a través de técnicas como el sniffing (robo de datos durante el uso de redes wifi públicas que no están protegidas), el uso de spyware (software que se dedica a capturar datos a través de diferentes vías) o, incluso, “debilidades relacionadas con el Bluetooth”, afirma el INCIBE.
“El oro de nuestros tiempos son nuestros datos, nosotros somos la mercancía más valiosa. Por eso, hay que estar muy atentos de qué datos facilitamos y a quién”, recomienda Regalado.
¿Qué es el 'email spoofing' y cómo podemos protegernos ante él?
Si nos llega un correo electrónico de nuestro banco solicitándonos que pinchemos en un enlace o que nos descarguemos un archivo, es probable que pensemos que se trata de un caso de phishing. Pero, ¿y si en el remitente del correo aparece la dirección oficial de nuestro banco? Entonces es posible que estemos ante un caso de email spoofing. La Oficina de Seguridad del Internauta (OSI) ha advertido sobre esta técnica, por la que los timadores se hacen pasar por una entidad o servicio de confianza para hacerse con nuestros datos y nuestro dinero. Os explicamos cómo funciona.
En esta ciberestafa, el correo electrónico que nos llega tiene toda la apariencia de ser oficial y de pertenecer a alguna de las empresas con la que tenemos contratado un servicio, porque imita la dirección oficial que usan estas compañías. Pero, al contrario que otros casos de phishing, en este caso los timadores consiguen ocultar la verdadera dirección de correo desde la que envían el mensaje, por lo que tiene una mayor sensación de autenticidad.
Pongamos el ejemplo de Apple: ya no es solo que utilicen, por ejemplo, la imagen corporativa de esta empresa, sino que la dirección de correo del remitente emplea la misma que utiliza Apple (@apple.com), por lo que es más difícil distinguir que estamos ante un timo, como podéis observar en el ejemplo que incluimos a continuación recogido por Kaspersky.
No obstante, Kaspersky analizó el mensaje y comprobó que el dominio real del remitente no tenía ninguna relación con la compañía tecnológica. Más adelante explicaremos cómo podemos hacerlo nosotros mismos.
El email spoofing es posible debido a que el principal protocolo utilizado en el envío de correos electrónicos, el protocolo Simple Mail Transfer o SMTP, no exige ningún tipo de verificación de identidad, según apunta la empresa de ciberseguridad ESET en su blog. “Alguien con determinados conocimientos en informática es capaz de introducir comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje”, explica la OSI.
“Si tú usas un servidor ‘x’ para hacer un envío y dices que tu dirección es ‘[email protected]’, el servidor que recibe el mensaje revisa de qué servidor ha salido y hace un repaso por la lista de servidores que están autorizados para mandar correos desde direcciones con el dominio ‘maldita.es’. Piensa que puede haber varios: utilizas ese correo desde una cuenta de Google, a través de un servicio como Mailchimp para mandar listas, etc. y si no está en ninguna de esas, mirará los protocolos que ha establecido el dueño del dominio”, explicaba sobre esta técnica a Maldita.es Sergio Carrasco, ingeniero de telecomunicaciones y especializado en ciberseguridad.
Para identificar un correo de email spoofing, la OSI recomienda que nos fijemos en una serie de elementos clave. El primer paso es visualizar la cabecera del email que nos ha llegado para ver la dirección desde la que realmente se ha enviado el mensaje. El organismo ha publicado en su página web breves guías para visualizar esta información en los principales servicios de correo electrónico.
Por ejemplo, en Gmail lo que tenemos que hacer es abrir el correo que queremos analizar y, luego, hacer clic en el icono de los tres puntos que aparece en la derecha y seleccionar ‘Mostrar original’. Por ejemplo, podemos usar como ejemplo un caso de suplantación a Amazon que recoge la OSI:
Como podemos observar en la captura, el dominio del remitente del correo es “@paragonsportindo.com”, que nada tiene que ver con el dominio oficial de Amazon. Por lo tanto, si seguimos los pasos y verificamos que el remitente no es la entidad o empresa que creíamos, debemos desconfiar de ese email que nos ha llegado.
Me han robado mi perfil de Instagram, ¿qué puedo hacer para recuperarlo?
En Maldita.es ya hemos advertido de cómo te pueden engañar para robarte tu perfil de Instagram. A través de un ataque de phishing por correo electrónico o de un mensaje directo en la red social, consiguen que termines facilitando tus credenciales o un enlace de acceso a tu cuenta. A nuestro ‘buzón de timos’ ([email protected]) han llegado varios casos de usuarios a los que se les ha ‘hackeado’ la cuenta y que no saben cómo proceder para recuperarla. Te explicamos qué hacer paso a paso.
Si sigues pudiendo iniciar sesión en tu cuenta
Si te has dado cuenta del engaño y de que los ciberdelincuentes tienen acceso a tu cuenta, pero sigues pudiendo iniciar sesión en ella, estás en el mejor escenario posible. El servicio de ayuda de Instagram recomienda que cambies tu contraseña y actives la autenticación en dos pasos. También debes confirmar que el número de teléfono y el correo asociados a la cuenta son correctos y revisar la configuración del perfil: eliminar todas las cuentas vinculadas que no reconozcas y quitar el acceso de aplicaciones de terceros sospechosas, para evitar posibles intromisiones en el futuro.
Si el atacante ha cambiado el correo electrónico vinculado a la cuenta (pero no la contraseña)
En el caso de que hayan robado tu cuenta de Instagram, es posible que hayas recibido un email de parte de [email protected], en el que notifican que la dirección de correo electrónico asociada a la cuenta ha cambiado. Si pinchas en el enlace ‘Proteger mi cuenta’ (“Secure your account here”, en inglés) puedes intentar deshacer ese cambio para recuperar el acceso. Es una opción que da Instagram para alertar de que es una acción que no han hecho los propietarios de la cuenta.
Sin embargo, si el atacante también ha cambiado la contraseña del perfil, no podremos volver a cambiar la dirección de correo electrónico asociada. En ese caso, tendremos que solicitar un enlace de acceso o pedir ayuda a la red social, una función que explicamos a continuación.
Pide un enlace de acceso
Para solicitar un enlace de acceso, tienes que ir a la pantalla de inicio de sesión de Instagram y pinchar en el botón “Obtén ayuda” (en el caso de dispositivos Android) o “¿Has olvidado la contraseña?” (en iPhone o navegadores web).
En la siguiente pantalla tienes que escribir el nombre de usuario, correo o teléfono asociados a la cuenta y hacer clic en ‘Siguiente’. Entonces, te aparecerá una nueva pantalla en la que tienes que escoger si quieres que te envíen un correo electrónico o un mensaje de texto (SMS) para recuperar el acceso a tu cuenta:
No obstante, es posible que el ciberdelincuente haya cambiado tanto el correo como el teléfono asociado a tu perfil, por lo que nos queda la opción de pedir ayuda a la red social.
Solicitar ayuda a Instagram
Para ‘pedir ayuda’ tienes que seguir los mismos pasos que en el caso anterior, pero en esta ocasión debes pinchar en la opción “¿No puedes cambiar la contraseña?”.
Tras este paso, en el caso de los dispositivos Apple, debes tocar en la opción “No puedo acceder a esta dirección de correo electrónico o este número de teléfono”, según indica el servicio de ayuda de Instagram y, a continuación, seguir las instrucciones que aparecen en la pantalla.
En el caso de dispositivos Android, la aplicación te pedirá que elijas un método para recuperar tu cuenta de Instagram, pero si no tienes acceso al correo o teléfono asociado a la cuenta, debes pinchar en “Usar otro método”. Entonces, Instagram te pedirá información sobre por qué no puedes acceder a tu cuenta. Si seleccionas “han hackeado mi cuenta”, la red social te preguntará si tienes una foto tuya publicada en el perfil. Si indicas que sí, Instagram te pedirá introducir un correo electrónico al que sí tengas acceso.
El email que te envía la red social llega desde la dirección [email protected] y te facilita un código para introducir en la aplicación.
Tras introducirlo, Instagram te pedirá que te grabes un “selfie de vídeo” en el que gires la cabeza en varias direcciones, como podemos observar en las siguientes capturas. El servicio de ayuda afirma que solicitan este vídeo para poder “comprobar que eres una persona real y confirmar tu identidad”.
En cambio, si has pedido ayuda en relación a una cuenta en la que no hay fotos tuyas, recibirás un email en el que te pedirán el correo electrónico o número de teléfono con el que te registraste en la aplicación, así como el tipo de dispositivo que usaste al registrarte, según indica el servicio de ayuda.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes los malditos Walter Verdejo y Susana Regalado.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.