"Tu iPhone X está listo para que lo retires". Este mensaje apareció junto con un link en mi Calendario de Google (o Google Calendar). No abrí el mensaje, y no presioné en el enlace. A todas luces era un intento de phishing.
En este caso era demasiado obvio por varios motivos: además de que el mensaje aparecía en inglés, yo no había encargado ningún celular en ningún sitio, ni participado de ningún sorteo para obtener una recompensa de ese tipo. Además, el mensaje aparecía replicado en una misma franja horaria durante toda la semana.
Por otra parte, hace años que se viene advirtiendo sobre los engaños de phishing, tal como se denominan a las diferentes técnicas de ingeniería social que se utilizan para obtener datos personales de usuarios, contraseñas o detalles de tarjetas de crédito. A esta altura, como probablemente les ocurra a muchos de ustedes, estoy acostumbrada a dudar siempre. Además, son gajes de este oficio. Pero aún así nadie está exento de caer en engaños, sobre todo porque a veces son un poco más elaborados que en este caso y, a su vez, porque la distracción puede jugarnos una mala pasada.
Estas técnicas de ingeniería social son, básicamente, anzuelos que utilizan los cibercriminales para convencer al usuario para que, de algún modo (muchas veces sin saberlo) les dé su información privada. Usualmente lo hacen enviando un correo o mensaje con un enlace que, al ser presionado puede, por ejemplo, derivarlo a una página fraudulenta que emula ser un sitio legítimo. Allí se le pide al usuario que ingrese los datos de su tarjeta, o nombre de usuario y contraseña. Esa información es captada por el cibercriminal y luego es empleada para hackear a su víctima de diferentes formas. En otros casos se recurre a archivos adjuntos que encierran algún programa malicioso.
En este caso no se utilizó un servicio de mensajería ni correo, sino que la invitación a hacer clic en el enlace para obtener el supuesto iPhone, llegó directamente al calendario de Google. Y esto puede tomar por desprevenido a más de un usuario que, quizás sin sospechar de que un enlace maliciosos pueda llegar por esa vía, presiona sobre él y puede caer en la trampa.
"Los atacantes han vuelto a un viejo vector de ataque, y es muy interesante porque el hecho de apalancarse en las notificaciones de Google hace que todo pareciera mucho más auténtico.. El recurso del calendario ya tiene unos 4 años", explicó a Infobae, Federico Teti, ingeniero de la empresa de ciberseguridad Forcepoint.
Cabe destacar que el engaño puede resultar un poco más sofisticado y, por ejemplo, se podría enviar al Calendario de Google un enlace que se le pide al usuario que presione para actualizar una información o para aceptar la invitación a algún evento que pueda resultarle familiar.
"Los phishers envían enlaces a encuestas falsas con descripciones de eventos breves como 'Recibió una recompensa en efectivo o Hay una transferencia de dinero a su nombre´. La idea, por supuesto, es hacer que las víctimas hagan clic y luego ingresen información personal en la forma maliciosa. A veces, los formularios engañan a los objetivos para que ingresen la información de la tarjeta de crédito al pedirles que envíen una pequeña cantidad de dinero para ganar una suma mucho mayor", añadió Teti.
¿Por qué llegan estas invitaciones al Calendario y cómo evitarlo? Porque el Calendario de Google, por default, está configurado para ver las invitaciones que se reciben a eventos, aún cuando uno no las haya aceptado. Esto permite, por ejemplo, que alguien pueda enviarnos una invitación por mail y que la visualicemos directamente en el Calendario, pero esto se soluciona con cambiar los ajustes.
Ingresar a Gmail desde la desktop, presionar en el menú punteado que figura en el extremo superior derecho e ingresar al ícono de Calendario o Calendar.
Luego presionar la tuerca, ícono de configuración y una vez allí seleccionar la opción que dice Configuración de eventos y donde dice "Añadir invitaciones de forma automática" seleccionar la opción que dice: "No, mostrar solamente las invitaciones a las que he respondido".
Luego dentro de Opciones de visualización destildar la opción que dice "Mostrar eventos rechazados" para dejar de ver el mensaje en el calendario, caso contrario se seguirá viendo, aún luego de haber rechazado la invitación.
MÁS SOBRE ESTE TEMA:
Sextorsión y otros chantajes digitales: cómo evitar caer en las redes de los cibercriminales
Cómo usar el celular como clave de seguridad para protegerse contra ataques de phishing
Ciberdelito: cuáles fueron "los anzuelos" que más se usaron para estafar usuarios