Un grupo de cibercriminales filtra por error miles de contraseñas en Google

La empresa de ciberseguridad Check Point ha descubierto una campaña de ciberestafas a gran escala que ha dejado de forma accidental credenciales robadas a disposición del público a través de una búsqueda en Google . Esta campaña de «phishing» , que es como se conoce a los ataques en los que los delincuentes informáticos utilizan ingeniería social para engañar a la víctima y robar información privada, comenzó el pasado mes de agosto mediante el envío de correos electrónicos que se hacían pasar por notificaciones de escaneado del proveedor de fotocopiadoras Xerox.

Según destacan desde Check Point, en los mensajes se incitaba a los usuarios a que abrieran un archivo malicioso adjunto en formato HTML que evadía el filtro de protección avanzada de amenazas de Microsoft Office 365. De esta manera, los ciberdelincuentes pudieron sustraer las credenciales de más de mil empleados de la empresa.

Una vez extraídos, los datos se almacenaban en docenas de servidores WordPress controlados por los ciberdelincuentes, los cuales incluían un archivo malicioso, y se encargan de procesar todas las credenciales obtenidas. Sin embargo, y debido a un simple error en la cadena de ataque, los atacantes que estaban detrás de esta campaña de «phishing» terminaron exponiendo estos datos en internet , ya que la carpeta donde estaban almacenados fue indexada por Google, por lo que esta información estaba visible para todo el público. Todo un obsequio para cualquier ciberdelincuente oportunista.

«Tendemos a pensar que cuando alguien roba nuestras contraseñas, en el peor de los casos los ciberdelincuentes utilizarán esta información en la darknet para obtener beneficio. Sin embargo, en esta ocasión no ha sido así, puesto que ahora esos datos son accesibles para todo el mundo con tan sólo realizar una búsqueda correcta en Googl e», señala Eusebio Nieva, director técnico de Check Point en España y Portugal.

Desde Check Point advierten de la importancia de securizar el correo electrónico con el objetivo de impedir que las campañas de «phishing» puedan conseguir nuevas víctimas, y ofrecen consejos para evitar convertirse en una nueva víctima de este tipo de campañas de ciberamenazas. De este modo, es capital que los usuarios se fijen en el dominio desde el que recibe un correo, para poder comprobar si se trata del oficial del usuario o la empresa q ue, en teoría, le está intentando contactar.

De acuerdo con esto, hay que desconfiar de los remitentes desconocidos y asegurarte siempre de que si vas a comprar un producto, o a solicitar información a una empresa, se trata de un sitio oficial: « Una forma de hacerlo es no hacer clic en los enlaces promocionales de los correos electrónicos y, en su lugar, buscar en Google la empresa deseada y hacer clic en el enlace de la página de resultados».