La compañía de seguridad informática ESET alerta sobre una campaña de estafa o phishing, que intenta obtener credenciales de acceso de cuentas de Facebook. Este fraude se propaga a través de Messenger, mediante un mensaje que proviene de un contacto y solicita dar “Me gusta” en una supuesta fotografía para una aparente “buena causa”.

El mensaje incluye un enlace con una URL acortada que hace alusión a una supuesta imagen y solicita que la potencial víctima acceda para poner “Me gusta”. Sin embargo, para realizar esta acción se requiere iniciar sesión en una página falsa que copia la imagen del sitio oficial de Facebook.

“Como ocurre en varias campañas, el sitio de phishing utiliza las características de un sitio seguro; es decir, utiliza un certificado de seguridad, maneja HTTPS y cuenta con un candado de seguridad. Además, el sitio utiliza una imagen idéntica en apariencia a la del sitio oficial de Facebook, por lo que el usuario podría caer en el engaño, especialmente si el mensaje proviene de un contacto conocido. El objetivo de esta campaña es robar las credenciales de acceso a Facebook”, detalla Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.

El principal indicio para identificar que se trata un engaño es la URL, que no corresponde directamente con la de Facebook, aunque se agregan algunas palabras al domino para hacer creer que se trata de un sitio legítimo.

ESET indica que si el usuario cae en el engaño e introduce sus credenciales de acceso, simplemente es dirigido al sitio oficial de Facebook aludiendo a un aparente error de autenticación, aunque sus datos ya han sido capturados por el sitio falso.

“Cabe destacar que la cuenta desde la cual proviene el mensaje ha sido comprometida previamente y es utilizada para difundir el engaño con el propósito de obtener credenciales de acceso de otras cuentas. Por lo tanto -aunque el enlace provenga de un contacto de conocido o de confianza-, es necesario revisar los parámetros de seguridad para evitar caer en un engaño. También es conveniente desconfiar de este tipo de mensajes y evitar propagarlos, de forma que menos personas se vean comprometidas.”, agrega Gutiérrez.

El experto recomienda que en caso de haber caído en el engaño, es conveniente actualizar las contraseñas comprometidas y habilitar medidas de seguridad adicionales como el doble factor de autenticación.

Otras recomendaciones para evitar caer en engaños de phishing:

  • Hacer caso omiso a este tipo de mensajes que llegan a los chats.
  • Revisar el certificado de seguridad para comprobar la legitimidad del sitio en cuestión.
  • Notificar al propietario de la cuenta desde la cual se envía el mensaje para que sepa que están realizando esta actividad maliciosa suplantando su identidad y desde su cuenta.
  • Habilitar medidas de seguridad adicionales, como el doble factor de autenticación.
  • Notificar a los usuarios que han sido afectados con este mensaje. (I)