Un ataque phishing en Google Chrome simula ser una página de inicio

El ciberataque es difícil de detectar, y aparece al intentar entrar a sitios Web con cuentas de Google, Twitter o Facebook, entre otros.

Un nuevo tipo de estafa digital afecta a los usuarios de Google Chrome, que están expuestos a sufrir un ataque de “navegador en el navegador” o BitB (browser-in-the-browser) al intentar iniciar sesión en una página web desde una cuenta de Google, Twitter o Facebook, entre otros

El usuario de Google que quiera ahorrar tiempo a la hora de iniciar sesión en un sitio web usando su cuenta de Gmail, Facebook o Twitter, puede hallarse ante una ventana emergente (o “pop-up”, esas que se abren solas) muy similar a la real que entrega los datos personales a un ciberladrón, no a un sitio de confianza, a través de la técnica conocida como phishing.

Según informó la web Android Police, que a su vez tomó lo publicado por The Register, el hallazgo fue descubierto por un investigador que, bajo el nombre de usuario mr.d0x y tras preguntarse posibles formas de atacar al navegador, encontró una potencial debilidad del mismo y creó una serie de plantillas para hacerlo que posteriormente publicó en Github.

Estas plantillas no solo permiten recrear una ventana emergente para iniciar sesión, sino también personalizar la URL de la misma y así complicar al usuario la tarea de comprobar su veracidad, como le contó a Bleeping computer.

Claves para evitar ciberataques

– Ante estos casos, se recomienda a los usuarios asegurarse previamente de dónde están accediendo y a quién están entregando sus datos personales.

– En las plataformas que lo tengan disponible es recomendable habilitar la autenticación en dos pasos para crear una barrera extra de protección.

Esto implica que, junto a la contraseña, tengamos que poner otro dato -un número que nos llega por SMS, un código que genera otra app, o una notificación en el celular- para evitar que, incluso si un ciberdelincuente obtiene nuestra contraseña, no pueda acceder a la cuenta sin el segundo factor de autenticación.