Incidentes Asociados
Los titulares de la prensa tecnológica están llenos de noticias esta mañana sobre una nueva estafa de inteligencia artificial dirigida a los usuarios de Google. Forbes publicó un artículo que detalla dos experiencias con estafadores, ambas con llamadas telefónicas probablemente generadas por inteligencia artificial y esquemas de varios pasos. Sin embargo, este es el punto: estas estafas no son necesariamente "nuevas" y debes tener cuidado con ellas, ya sea que el actor pretenda ser de Google o no.
Ten cuidado con estas estafas de cuentas de Google
El informe de Forbes destaca dos ejemplos específicos pero similares de este tipo de estafa: una víctima, Sam Mitrovic de Microsoft, recibió una alerta sobre una solicitud de recuperación de cuenta, que, cuando es legítima, generalmente se activa cuando alguien olvida su contraseña. Debido a que las solicitudes de recuperación de cuenta no solicitadas suelen ser de naturaleza maliciosa, Mitrovic ignoró la alerta, pero recibió una llamada telefónica de "Google Support" solo 40 minutos después. Mitrovic también ignoró esta llamada, pero poco después recibió otra alerta seguida 40 minutos después por una llamada de "Google Support".
Esta vez, Mitrovic respondió y se encontró con un "representante" con acento estadounidense que le preguntó si Mitrovic había viajado recientemente, en particular a Alemania. La respuesta fue no, lo que llevó al representante a advertirle a Mitrovic que alguien había estado accediendo a su cuenta desde Alemania durante los últimos siete días y ya había descargado datos de la cuenta. Mitrovic incluso buscó en Google el número de teléfono desde el que llamaba "Google Support", y descubrió que conducía a esta página oficial de Google Support. A primera vista, podrías pensar que esto confirma que se trata de Google Support, pero si lees la página con más atención, verás que este número de teléfono es el número desde el que Google Assistant llama a las empresas, no desde Google Support. Al final, se trataba de una estafa.
Otro ejemplo de Forbes se refiere a Garry Tan, fundador de Y Combinator, que informa que también fue víctima de una estafa similar. Tan también recibió una llamada de "Google Support", que afirmaba que tenían el certificado de defunción de Tan y que un miembro de la familia estaba tratando de usarlo para acceder a la cuenta de Tan. Google Support llamaba para confirmar que Tan estaba realmente vivo y para compartir una solicitud de recuperación de cuenta que Tan podría usar para "confirmar" que su cuenta estaba activa. Esa última parte es la verdadera estafa: Tan destaca que la solicitud de recuperación de cuenta era definitivamente fraudulenta, ya que el "dispositivo" del que provenía la solicitud decía Google Support, no un dispositivo real. Alguien está falsificando ese campo y, si Tan hubiera hecho clic en "Sí, soy yo" en la alerta, el atacante habría podido restablecer la contraseña de la cuenta de Google de Tan.
Aunque no se puede confirmar, parece que las llamadas telefónicas utilizadas en cada ejemplo estaban impulsadas por IA. Mitrovic y Tan confirman que las voces eran convincentes, pero en el caso de Mitrovic, la persona que "llamaba" dijo "hola" y, tras no obtener respuesta, volvió a decir "hola" de la misma manera. Eso, junto con una pronunciación y un espaciado perfectos, convenció a Mitrovic de que la voz era en realidad de IA (señales reveladoras de audio generativo impulsado por IA) (https://lifehacker.com/tech/how-to-identify-ai-generated-speech).
En la práctica, esta estafa no es nada nuevo
Si bien las noticias están dando que hablar sobre este nuevo tipo de estafa impulsada por IA, las tácticas subyacentes son bastante clásicas. Puede protegerse sabiendo a qué debe prestar atención, ya sea que los atacantes utilicen IA o no.
Primero, las grandes empresas tecnológicas como Google simplemente no lo llaman de la nada para advertirle sobre una posible violación de seguridad en su cuenta. De hecho, Google y otras empresas similares son conocidas por su falta de soporte técnico basado en humanos en general. Si no puede ponerse en contacto con una persona real cuando sabe que necesita ayuda, no hay posibilidad de que un representante de Google se comunique con usted primero. Por lo tanto, ya sea una voz convincente impulsada por IA al otro lado del teléfono o un actor humano bastante terrible que finge ser un representante de Google en vivo, recibir una llamada de una empresa como esta debería ser una señal de alerta lo suficientemente grande como para ignorar la situación.
Por otro lado, tenemos la solicitud de recuperación de cuenta. Este es un método de estafa clásico: active una alerta de recuperación de cuenta en el lado del usuario y convénzalo de que aceptarla significa que está confirmando su identidad. Simplemente, ese no es el propósito de este sistema y es en lo que los piratas informáticos esperan que caiga. Se supone que las solicitudes de recuperación de cuenta las debe activar usted siempre que no pueda acceder a su cuenta, tal vez en el caso de que alguien haya pirateado su cuenta. Usted se lo dice a Google y ellos envían una solicitud de recuperación de cuenta a la dirección de correo electrónico que usted adjuntó. Usted abre ese correo electrónico, hace clic en "Sí, soy yo" y puede continuar con el proceso de recuperación de su cuenta. Nadie más está involucrado en el proceso y la solicitud no se utiliza para ningún otro propósito.
Sin embargo, los piratas informáticos se harán pasar por el Soporte de Google y dirán que esta solicitud de recuperación de cuenta es solo una forma de confirmar su identidad o que su cuenta está activa. Sin embargo, cuando hace clic en el botón "Sí, soy yo", lo que ha hecho es activar el proceso de recuperación de cuenta en su parte. Ahora tienen el poder de ingresar a su cuenta y, potencialmente, bloquearla y robar su información.
En resumen: si usted no activó esa alerta de recuperación de cuenta, no es legítima. No haga clic en ella.
Si te preocupa que te hackeen
Si recibes una llamada telefónica o un mensaje como este, es probable que se trate de un malhechor que busca una víctima de phishing. Sin tu intervención, simplemente pasarán a buscar a otra víctima. Sin embargo, no es mala idea seguir algunos pasos para asegurarte de que tu cuenta esté protegida de forma activa.
Centrándote en Google, puedes ir a la página de configuración de seguridad de tu cuenta de Google (https://myaccount.google.com/security) para revisar un panel de control del estado de seguridad de tu cuenta. Aquí verás todas tus sesiones activas, si Google tiene alertas de seguridad para que las administres y la configuración de cosas como la autenticación de dos factores, contraseñas, claves de acceso, correos electrónicos de recuperación y números de teléfono, entre otros.
Si te preocupa el nivel de seguridad actual de tu cuenta, mira tus sesiones activas: aquí es donde estás conectado actualmente. Si no reconoces un dispositivo o una ubicación, puedes hacer clic en él y cerrar la sesión de ese dispositivo en tu cuenta. Solo debes saber que si estás usando una VPN o el servicio de retransmisión privada de iCloud de Apple, es posible que veas sesiones de ubicaciones desconocidas en tus dispositivos de confianza, ya que estos servicios ocultan de dónde proviene tu tráfico de Internet real.
Además, es una gran idea cambiar tu contraseña de vez en cuando y asegurarte de que estás usando la autenticación de dos factores (2FA). De esa manera, si un atacante descubre tu contraseña, tienes un paso de autenticación secundario que requiere un dispositivo de confianza, algo que el atacante probablemente no tenga. Considera también configurar claves de acceso, que combina lo mejor de ambos mundos entre las contraseñas y la 2FA.
Al fin y al cabo, los atacantes que emplean estas estafas no pueden acceder a tu cuenta por sí mismos, por eso te tienen en la mira. Necesitan que hagas clic en sus enlaces maliciosos o que te autentiques en su nombre. Siempre que tu contraseña sea segura y tengas otras formas de autenticación como respaldo, la mejor forma de evitar ser víctima de este tipo de estafas es simplemente ignorarlas.