Los ciberdelincuentes han encontrado una forma insólita de robar credenciales de Microsoft utilizando nada menos que Google como su principal herramienta. Mientras que ataques con inteligencia artificial contra cuentas de Gmail, amenazas invisibles de hacking y CAPTCHAs falsos ya forman parte del panorama de ciberataques, esta nueva técnica demuestra que los hackers siguen innovando para burlar la seguridad.
Investigadores de Malwarebytes han descubierto una serie de
ataques que utilizan publicidad maliciosa en Google para engañar a los usuarios
y robar sus credenciales de Microsoft. Según Jérôme Segura, director senior de
investigación en Malwarebytes, esta técnica ya ha sido utilizada en el pasado
con anuncios falsos de Google Ads que dirigían a las víctimas a páginas
fraudulentas para robar sus credenciales. Ahora, la estrategia ha evolucionado
y los objetivos son los anunciantes de Microsoft.
Estos anuncios maliciosos aparecen en los resultados de
búsqueda de Google y, al hacer clic en ellos, los usuarios son redirigidos a
sitios que imitan el portal de Microsoft Ads. Una vez allí, se les solicita que
inicien sesión con sus credenciales, entregándolas directamente a los
ciberdelincuentes sin sospechar nada.
"Estos anuncios maliciosos en Google Search están diseñados para robar la información de inicio de sesión de los usuarios que intentan acceder a la plataforma de anuncios de Microsoft", explicó Segura.
A pesar de los estrictos filtros de seguridad de Google,
estos anuncios fraudulentos lograron colarse en los resultados patrocinados.
Malwarebytes ya ha informado a Google sobre la situación, mientras que
Microsoft aún no ha dado declaraciones al respecto.
Por su parte, un portavoz de Google declaró:
"Prohibimos expresamente los anuncios que buscan engañar a las personas y
suspendemos las cuentas de los anunciantes que incurren en estas prácticas,
como ya hemos hecho en este caso".
Cómo logran evadir los sistemas de detección
Los hackers detrás de esta campaña han desarrollado varias
técnicas para evitar ser detectados por los sistemas de seguridad. Segura
explicó que utilizan métodos para filtrar el tráfico y asegurarse de que solo
usuarios reales lleguen a las páginas falsas.
Por ejemplo, si el usuario está navegando con una VPN, es
dirigido a una página en blanco con publicidad genérica para evitar ser
detectado por bots o investigadores de seguridad. Sin embargo, si se trata de
un usuario legítimo, será redirigido a una página de "verificación"
donde deberá confirmar que es humano antes de ingresar. Finalmente, el usuario
terminará en un sitio que imita la página de inicio de sesión de Microsoft Ads,
donde se le pedirá su contraseña.
Para hacer aún más creíble la estafa, el sitio falso muestra
un mensaje de error falso solicitando un restablecimiento de contraseña.
Incluso han implementado mecanismos para tratar de eludir la autenticación en
dos pasos (2FA), lo que convierte a este ataque en una amenaza aún más grave.
Segura advierte que este ataque podría ser solo el comienzo
y que otras plataformas además de Google Ads y Microsoft Ads podrían estar en
la mira de los hackers para robar contraseñas.
Cómo protegerse de este nuevo ataque
Para evitar caer en este tipo de fraudes, Segura recomienda
seguir estas medidas de seguridad:
- Revisar cuidadosamente la URL en la barra de direcciones antes de ingresar credenciales.
- Usar la autenticación en dos pasos (2FA) con precaución, verificando siempre las solicitudes antes de aprobarlas.
- Revisar frecuentemente las cuentas publicitarias en busca de actividades sospechosas, como cambios en los administradores de la cuenta.
- Reportar cualquier anuncio sospechoso para que otras personas no caigan en la trampa.
Google ha reiterado que cuenta con políticas de seguridad
para evitar este tipo de fraudes y que sus equipos especializados siguen
trabajando para eliminar anuncios maliciosos. Sin embargo, la rapidez con la
que los ciberdelincuentes logran burlar los filtros demuestra que los usuarios
deben permanecer siempre alerta ante posibles ataques.
Los hackers son más rápidos que nunca: pueden arruinarte en solo 48 minutos