Microsoft ha abierto una investigación en relación a un tipo de estafa informática que utiliza el correo ordinario para llegar hasta su víctima. Los ciberdelincuentes suelen usar marcas conocidas para engañar a los usuarios y ganarse su confianza, pero lejos del phishing que se usa habitualmente como ataque en España, no es frecuente ver llegar por correo una unidad USB infectada con un virus.
[Vuelve a WhatsApp la estafa del familiar lejano que te pide dinero, advierte la Policía]
El medio Sky News se hace eco de la experiencia de un usuario con este paquete fraudulento. Un jubilado de Reino Unido recibía en su domicilio un correo en nombre de Microsoft para instalar, mediante un pendrive, el conjunto de programas de ofimática de la marca, Office 365. Sin embargo, el dispositivo no era de fiar.
La estrategia reúne toda una serie de técnicas que van desde el uso de correo ordinario, hasta un tipo de ransomware que secuestra el ordenador y llamadas de teléfonos falsas para robar los datos bancarios. La compañía tecnológica ya está al tanto de lo ocurrido y, aunque asegura que no es un método frecuente, pide extremar las precauciones.
Por correo y teléfono
Un paquete de promoción de Microsoft Office 365 llega a casa. Dentro, un pendrive se promociona como herramienta para instalar el combo de programas, pero cuando se introduce en el puerto USB del ordenador, se dedica a instalar un software malicioso. El malware bloquea el equipo y muestra un anuncio que anima al usuario a pedir ayuda técnica en un servicio telefónico también falso.
La víctima del engaño sigue las instrucciones del técnico que "resuelve el problema" y pasa al usuario con el portal de suscripción de Office 365 donde debe detallar sus datos bancarios para completar el pago de la compra. Martin Pitman, consultor de seguridad cibernética de Atheniem que ayudó a la víctima ante la estafa, explica que durante el proceso el afectado instala sin saberlo un programa para dar control remoto al atacante al otro lado del teléfono.
Este tipo de estafa telefónica no es nueva para Microsoft. Siguen siendo frecuentes, también para los españoles, las estafas en las que una persona indica que hay un fallo con el ordenador Windows de quien ha contestado al otro lado del teléfono, que debe dar sus claves y descargarse programas para que el supuesto técnico lo solucione.
La compañía advierte que si se produce algún fallo, deben ser los usuarios quienes pidan ayuda al servicio técnico y no al revés. Por lo tanto, ante llamadas de este tipo es mejor declinar la oferta, colgar y, si se quiere, comprobar la información por otras vías, como la web oficial de Microsoft o los teléfonos oficiales de consulta.
Si se ha caído en la trampa, lo primero que hay que hacer es llamar a la policía y al banco para proteger las cuentas lo antes posible. También se pueden consultar servicios de ciberseguridad como el INCIBE (Instituto Nacional de Ciberseguridad) y alertar a la empresa en cuyo nombre estén actuando los hackers.
Desconfiar de los USB
Otro peligro que se debería tener en cuenta siempre es el uso de pendrives desconocidos o sin analizar. Se regalan en eventos, se comparten con amigos e incluso te los puedes encontrar en alguna cafetería o en la calle. La curiosidad en este último caso puede ser mala consejera, al igual que ocurre con los códigos QR públicos.
Los expertos en ciberseguridad aconsejan no conectar un pendrive dudoso a los ordenadores, ya que es posible que estén contaminados o escondan sorpresas desagradables como un ataque troyano. Es un tipo de ataque que se esconde tras una herramienta en apariencia benévola. En el caso reciente, si no se ha pedido el envío, será sospechoso desde el principio.
Desde el gigante tecnológico reconocen haber visto este tipo de fraudes antes, pero de forma muy poco frecuente. Requiere un nivel de preparación alto; desde crear el paquete, enviarlo, seleccionar a la víctima y esperar la llamada, todo para una respuesta que puede no tener gran repercusión.