Podemos decir que el robo de contraseñas es algo habitual en Internet, pero que con el paso de los años se ha vuelto más complicado para los ciberdelincuentes. Algo muy importante son los métodos de autenticación en dos pasos. Básicamente ese segundo código que hay que poner. Así, aunque tengan la clave de acceso, no podrían entrar sin ese segundo paso. Ahora bien, en este artículo vamos a hablar de los Robocall y de cómo pueden robar nuestras credenciales en un momento.
Una llamada de un bot puede robar nuestras cuentas
¿Qué son los Robocall? Es así como se conocen a los bots que realizan llamadas telefónicas para estafar a las víctimas. Un informe realizado por CyberNews ha demostrado que son capaces de obtener códigos de acceso de un solo uso, que son las claves que necesitamos para entrar en la cuenta bancaria, por ejemplo, después de haber puesto la contraseña. Estamos ante un claro ejemplo de ataque de ingeniería social.
Si un atacante roba la contraseña del banco, por ejemplo después de haber infectado el móvil u ordenador con un virus, por un ataque Phishing o incluso por simple adivinación (esto ocurre si esa clave es muy débil), lo más normal es que se encuentre con un segundo paso. Ese segundo paso va a ser un código de un solo uso que va a tener que introducir para verificar que realmente es un usuario legítimo. Suele ser una serie de números o letras que recibimos por SMS.
Lo que hacen estos Robocall es, una vez han obtenido información de la víctima, llamar y hacerse pasar por un banco o cualquier empresa. Normalmente va a indicar que ha pasado algo con la cuenta, que necesitan verificar la identidad, que tiene que protegerse… Cualquier cosa que haga saltar las alarmas a la víctima. Pueden sacar datos de redes sociales o información que hacemos pública en foros, por ejemplo.
Solicitan un código de acceso único
Posteriormente va a solicitar a ese usuario que le diga un código que va a recibir en su teléfono. La excusa será lo que comentamos, verificar que es la persona legítima de esa cuenta, etc. De esta forma podrían iniciar sesión en el banco, en Google Pay, Apple Pay o cualquier sitio de compras online. Una vez han entrado podrían vincular una tarjeta, por ejemplo, y posteriormente cargar compras ilegítimas.
También suelen utilizar la técnica de que alguien ha entrado en su cuenta y necesitan poner el PIN del banco o cualquier cosa para verificar la identidad. Lógicamente esto va a parar a los atacantes y van a tener el control total de esas cuentas.
Un punto importante de todo esto, como así indican desde CyberNews, es que al utilizar un identificador de llamadas falso, ese bot va a aparecer en el teléfono con un identificador que simule ser un banco o cualquier empresa legítima. Esto puede despistar a la víctima.
En definitiva, un Robocall es una técnica más que utilizan para robar cuentas y poder acceder al banco, vincular tarjetas o cualquier servicio online. Esto hace que debamos estar más alerta que nunca y, más allá de tener activada siempre la autenticación en dos pasos, no confiar nunca en ninguna llamada o mensaje que recibamos en el que nos soliciten datos. Debemos siempre proteger las cuentas bancarias y cualquier otra plataforma que usemos.