This post is also available in: Inglés, Francés, Alemán

Por qué Dashlane nunca le pedirá sus credenciales mediante correo electrónico. Porque así es como funciona el phishing.

This post is also available in: Inglés, Francés, Alemán

Empecemos poniéndonos en antecedentes 

Todo el mundo ha oído hablar del phishing, quizás incluso por nosotros. Y todo el mundo que tiene un correo electrónico activo (o un teléfono móvil o fijo) ha sido objeto de alguna campaña de phishing. Incluso si piensa que no lo ha sido. Porque al igual que infinidad de personas tratan de engañar continuamente a los menos cautos para que compartan información importante, los equipos de seguridad trabajan a contrarreloj para identificar y frenar estos ataques. Gran parte de este trabajo pasa desapercibido: 

  • Los proveedores de correo electrónico identifican y bloquean constantemente cuentas sospechosas. 
  • Las empresas de hosting de dominios tienen departamentos exclusivamente dedicados a impedir que los que realizan estas malas prácticas hagan uso de sus servicios y los detienen cuando lo hacen. 
  • Los filtros de correo no deseado identifican los mensajes sospechosos. 
  • Las empresas examinan los adjuntos y enlaces para mantener seguros sus sistemas críticos.  

Lamentablemente, el costo de ejecutar una campaña de phishing es tan reducido y el potencial de la recompensa es tan grande, que el phishing forma parte del entorno de nuestra vida digital. No obstante, hay una defensa que ningún pirata informático puede quebrantar: la persona que se abstiene de interactuar con su mensaje. Si no responde a la llamada de una “Posible Estafa”, no será víctima de la misma. Si no hace clic en el correo electrónico que solo contiene un enlace enviado por un compañero de universidad con el que lleva tres años sin hablar, ese virus no se instalará en su ordenador.  

Pero estos son ejemplos obvios y la mayoría de las campañas de phishing son más sofisticadas. Si bien muchas están dirigidas a empresas (si un correo electrónico de phishing pasa a través de la protección corporativa e incluso un empleado hace clic en él, toda la red de la empresa podría verse hackeada), algunas están dirigidas a personas. Muy a menudo, estos correos electrónicos llegan ocultos como si fueran de una empresa que pide a los usuarios que “verifiquen la información de su cuenta” o algo similar.  Normalmente, contienen un enlace a una página que se parece mucho, o es idéntica, a la página de inicio de sesión de la empresa que supuestamente ha enviado el correo electrónico. Pero no lo es. Es una copia diseñada para engañarle y que envíe voluntariamente sus credenciales a los delincuentes que harán uso de esa información en su propio beneficio, la venderán en la web oscura, o ambas cosas.  

Funcionamiento para usuarios de Dashlane 

Las campañas de phishing a menudo se centran en objetivos de “gran valor”. Por ejemplo, las credenciales bancarias son lógicamente más valiosas que las de un servicio de streaming.  Por razones obvias, las credenciales para un administrador de contraseñas tienen un gran valor. Con una credencial, un atacante puede acceder teóricamente a todas las contraseñas de un objetivo. Por este motivo, nosotros, y una gran mayoría de sitios que permiten acceso a información confidencial de cualquier tipo, utilizamos la verificación mediante correo electrónico, dispositivos autenticados y otros medios. Así garantizamos que una persona que solicita acceso a una cuenta determinada esté autorizada a hacerlo.  Incluso si un atacante consigue su ID de Dashlane y contraseña maestra, también tendría que tener acceso a la bandeja de entrada de su correo electrónico para acceder a la información que tiene almacenada con nosotros.   

En las primeras horas del 5 de noviembre de 2021, nuestros agentes del servicio de ayuda al usuario comenzaron a recibir denuncias de un correo electrónico que “nosotros” habíamos enviado a los usuarios para que verificasen sus credenciales para “evitar la desactivación de determinadas funciones”: 

Captura de pantalla de un correo electrónico falso haciéndose pasar por Dashlane, pidiendo a los usuarios que "verifiquen su información".

Este es un correo electrónico de phishing bastante sofisticado. Las personas detrás de él, copiaron gráficos de nuestro sitio y emularon el tono de nuestras comunicaciones con los clientes.  El uso de “informaciones” en el botón es la única señal de alerta clara en el mensaje en sí. Si hizo clic en ese botón, le redirigieron inicialmente al menos (una vez que comenzamos activamente a bloquear estas acciones, los atacantes se frustraron y comenzaron a redirigir a un sitio web de pornografía) a la siguiente página, si usted se encontraba, por lo menos, en Francia:   

Captura de pantalla de la página falsa que los piratas informáticos crearon para hacerse pasar por el sitio web de Dashlane.

Una vez más, esta es una estupenda versión fraudulenta de nuestra página web. Una vista rápida a la URL muestra que viene de una dirección que, como mínimo, parece estar asociada con nosotros: app.auth-dashlane.com.  Pero no somos los propietarios de ese sitio, ni de ninguno de los otros diez sitios web con la palabra “Dashlane” que se registraron poco antes del primer envío de estos correos electrónicos. Y no tenemos forma alguna de comprar todos los nombres de dominios que incluyen “Dashlane” para defendernos ni de impedir que otras personas lo hagan. Lo que hacemos y que nos ayudó a enterarnos de esta campaña es controlar cualquier registro de nombres de dominios que incluyen “Dashlane”. 

Entonces, ¿quién recibió este correo electrónico? Hasta ahora, solo unas decenas de usuarios de Dashlane han denunciado haber recibido este tipo de comunicaciones o similares, y no tenemos ningún indicio de que ninguna cuenta se haya hackeado.  Esto se debe en parte a que, como muchas campañas de phishing, comenzó con una lista aleatoria de correos electrónicos, no una recopilación de usuarios de Dashlane conocidos.   No se produjo ninguna brecha que permitiese a los atacantes obtener los correos electrónicos; cribaron grandes listas de direcciones aleatorias con la esperanza de llegar a usuarios de Dashlane. 

Igualmente, nos enteramos del ataque pronto e inmediatamente contactamos con agentes de registro de dominios, empresas de hosting y otros cuyos servicios usaron los atacantes para detenerles. Pero existen cientos de estos proveedores de servicios y esto puede ser como luchar contra Goliat, así que también notificamos lo sucedido en nuestra página de estado  e informamos a nuestro equipo de atención al cliente para que los agentes pudieran ayudar a los usuarios de Dashlane que lo necesitaran.  Por supuesto, seguimos combatiendo todos los Goliats que se presentan y a partir de redactar este escrito, el ataque parece, en gran medida, haberse atenuado. Con suerte, a la larga los atacantes pondrán su foco de atención en otro objetivo, pero siempre habrá otros que estén listos para hacerlo. 

Mantener los phishers a raya 

Como lo hicimos en el actual ejemplo, seguiremos vigilando toda actividad sospechosa que pudiera afectar a Dashlane y a nuestros usuarios. Tomaremos medidas contundentes para detener cualquier incidente del que tengamos conocimiento. Asimismo, seguiremos realizando esfuerzos para hacer que nuestro servicio sea más seguro, más sólido y más resiliente. Pero cuando se trata de phishing, lo más importante es no morder el anzuelo. Incluso si la integridad de su cuenta de Dashlane, cuenta bancaria o cualquier otra está protegida por la autenticación de dos factores u otros medios, nunca deberá darle a los delincuentes ningún tipo de información.  Existe un motivo por el que casi todos los correos electrónicos que recibe de su entidad bancaria, proveedor de teléfono móvil u otras empresas mencionan algo parecido a “Nunca le pediremos sus contraseñas o información relacionada con su cuenta mediante correo electrónico”. El motivo es simple: Si quiere evitar que sus clientes sean víctimas del phishing, no actúe como un phisher. Así que recuerde lo siguiente:  

Dashlane nunca le pedirá sus credenciales o información de cuenta en un correo electrónico. 

El único lugar en el que debe introducir su contraseña maestra o información de inicio de sesión es en la página de inicio de sesión o pantalla de nuestros servicios a la que ha accedido usted mismo. En algunos casos, nuestros agentes puede que le soliciten información (como un correo electrónico o los últimos cuatro dígitos de una tarjeta de crédito) en respuesta a una solicitud iniciada por el usuario al equipo de asistencia técnica, pero nadie en Dashlane le pedirá su contraseña maestra.  

Puede obtener más información sobre cómo un administrador de contraseñas le ayuda a evitar el phishing.