LITTLE ROCK, Arkansas (KATV) – Las estafas de invitaciones que imitan servicios legítimos de eventos en línea se están convirtiendo en una creciente amenaza cibernética, en la que los atacantes explotan el deseo de las personas de permanecer conectadas socialmente para engañarlas y hacer que hagan clic en enlaces maliciosos o entreguen información de inicio de sesión.
Chris Wright, experto en ciberseguridad y cofundador de Sullivan Wright Technologies, dijo que los estafadores a menudo «se aferran a marcas que usted conoce, como Evie y otras», utilizando lo que describió como «credibilidad prestada» para hacer que los mensajes parezcan confiables a primera vista. Al incluir una marca familiar, dijo, los estafadores pueden disipar el escepticismo inicial que, de otro modo, podría impedir que alguien haga clic.
Wright dijo que la misma táctica aparece con frecuencia en entornos empresariales, donde los estafadores se hacen pasar por servicios conocidos como Microsoft, Google y DocuSign para lograr que las personas abran mensajes y sigan indicaciones.
Un ejemplo común, dijo, es un mensaje diseñado para parecerse a una invitación formal de confirmación de asistencia, del tipo que alguien podría esperar para «una boda o un evento de mayor importancia o algo así». Wright dijo que los estafadores intentan imitar la apariencia de invitaciones legítimas para que el correo electrónico parezca oficial.
Una vez que alguien hace clic, dijo Wright, la estafa puede ir en múltiples direcciones. En una de las versiones más comunes, dijo, el atacante intenta robar credenciales presentando una página de inicio de sesión falsa que parece ser de Microsoft o Google y diciéndole al destinatario que debe iniciar sesión para ver la invitación.
Wright dijo que una señal de advertencia clave es la dirección web. «Si realmente miras la URL, no habrá nada que se parezca a Microsoft o Google ni nada de lo que dice ser», dijo.
En algunos casos, Wright dijo que los estafadores adaptan la página de inicio de sesión falsa al proveedor de correo electrónico del destinatario. Por ejemplo, si la invitación se envía a una cuenta de Gmail, al hacer clic en el enlace puede aparecer lo que llamó «una página de inicio de sesión de Gmail muy convincente». Otras estafas tienen una red más amplia, dijo, al ofrecer múltiples opciones, como iniciar sesión con Microsoft, Google o Yahoo, todas con el objetivo de capturar nombres de usuarios y contraseñas.
Otra versión de la estafa puede ser aún más peligrosa, dijo Wright, al solicitar al usuario que descargue un archivo ejecutable que parece ser la invitación. «En realidad, ese archivo ejecutable simplemente le dio al atacante acceso remoto a su computadora», dijo, permitiendo el acceso a correo electrónico, información financiera y archivos privados.
Para protegerse contra las estafas de invitaciones, Wright instó a las personas a reducir la velocidad antes de hacer clic. «Más despacio», dijo. Recomendó inspeccionar los correos electrónicos cuidadosamente, incluida la verificación de los detalles del remitente. Si un correo electrónico solo muestra un nombre para mostrar, como una marca o una persona, dijo que los usuarios deben hacer clic para revelar la dirección de correo electrónico completa, que «la mayoría de las veces, la revelará como una estafa».
También aconsejó pasar el cursor sobre los enlaces para obtener una vista previa de dónde conducen antes de hacer clic y buscar pistas contextuales, incluso si el mensaje es inesperado. Wright dijo que si algo llega de la nada y provoca una reacción de «Lo entendí», probablemente sea una estafa.
