Los peligros de los hackers que suplantan páginas de seguridad de Google
El avance de la tecnología ha traído consigo una serie de riesgos y amenazas cibernéticas. Uno de los más alarmantes es la suplantación de páginas de seguridad, especialmente las de plataformas gigantes como Google. La técnica utilizada por los hackers para robar los códigos de autenticación multifactor (MFA) es sofisticada y preocupante.
¿Cómo funcionan las suplantaciones de página?
Los hackers crean aplicaciones que, al obtener permisos del usuario, son capaces de aprovecharse del entorno del navegador. Mientras una sesión esté activa, estas aplicaciones pueden:
Monitorear el portapapeles: Capturan cualquier dato copiado, incluidos códigos de un solo uso y direcciones de carteras de criptomonedas.
Intercepción de códigos SMS: En navegadores compatibles, utilizan la API WebOTP, lo que permite interceptar códigos de verificación enviados por SMS, facilitando aún más el acceso a cuentas sensibles.
Además, establecen una huella detallada del dispositivo y consultan servidores remotos para recibir instrucciones adicionales.
Persistencia del ataque
Una vez que la ventana del navegador se cierra, la actividad no se detiene. Esto es posible gracias a un service worker, un script que opera en segundo plano, manteniendo un canal de comunicación mediante notificaciones push. Si la conexión se interrumpe, los datos se almacenan localmente y se envían cuando la conexión se restablece, garantizando la continuidad del ataque.
Explotación de recursos locales
Las aplicaciones en cuestión también incluyen un relais WebSocket, lo que permite al atacante ejecutar solicitudes web desde el navegador comprometido y recibir respuestas. Este tráfico es engañosamente enviado desde la dirección IP de la víctima. Esta intrusión permite sondear la red local para identificar máquinas y servicios expuestos, abriendo un abanico de interacciones con recursos que normalmente son inaccesibles desde Internet.
Una trampa para las víctimas
Aquellas personas que caen en la trampa suelen ser invitados a descargar un archivo APK, presentado como una actualización crítica. Este archivo, identificado como com.device.sync, exige más de 33 permisos que incluyen acceso a mensajes SMS, registros de llamadas, y el micrófono.
Algunas características adicionales de esta aplicación son:
- Teclado personalizado: Registra las pulsaciones de teclas del usuario.
- Lectura de notificaciones: Permite al atacante tener acceso a todos los mensajes y alertas.
- Interacción con otras aplicaciones: A través del servicio de accesibilidad, los hackers pueden observar e interactuar con otras aplicaciones del dispositivo.
Para complicar aún más su eliminación, esta aplicación puede registrarse como administrador del dispositivo y reactivarse al inicio.
Prevención y recomendaciones
La necesidad de estar alerta nunca ha sido tan crucial. Aquí hay algunas recomendaciones para prevenir estos ataques:
- Desconfía de descargas no solicitadas: No descargues archivos APK de fuentes no confiables.
- Usa autenticación multifactor confiable: Activa MFA en tus cuentas, preferiblemente con aplicaciones de autenticación en lugar de SMS.
- Mantén tu software actualizado: Los sistemas operativos y las aplicaciones deben estar siempre al día para evitar vulnerabilidades.
- Educación sobre phishing: Reconocer intentos de phishing puede hacer la diferencia.
Conclusión
La suplantación de páginas de seguridad de Google es una amenaza seria que todos deben tener en cuenta. A medida que los hackers se vuelven más astutos en sus métodos, es nuestro deber estar informados y protegidos. La prevención y la concienciación son nuestras mejores armas en esta batalla digital.
About the Author
