Artículo del blog: Seguridad en línea
Hola y bienvenidos a Estafa O Confiable.
Artículo del blog: Seguridad en línea
Las contraseñas clásicas están siendo sustituidas progresivamente por soluciones de autenticación más avanzadas, como las passkeys y la autenticación multifactor (MFA). Presentadas como más seguras, estas tecnologías no son invulnerables. Los estafadores desarrollan ahora sitios espejo capaces de interceptar en tiempo real las credenciales y las sesiones de autenticación multifactor. Esta evolución marca un punto de inflexión en las técnicas de phishing en línea.
Las passkeys se basan en criptografía asimétrica y sustituyen las contraseñas por un par de claves digitales almacenadas en el dispositivo del usuario. Están diseñadas para impedir el robo de credenciales mediante filtraciones de bases de datos o ataques de fuerza bruta. Por su parte, los sistemas MFA añaden un segundo paso de validación, como un código temporal o una confirmación biométrica.
En teoría, estos mecanismos bloquean la mayoría de los intentos de intrusión clásicos. Sin embargo, siguen siendo vulnerables cuando el propio usuario valida una conexión fraudulenta en un sitio que imita a la perfección el original. El fallo ya no está en la tecnología, sino en la manipulación en tiempo real.
Las nuevas campañas de ataque utilizan kits de phishing capaces de actuar como intermediarios entre la víctima y el servicio legítimo. La persona cree que inicia sesión en su cuenta habitual, pero sus acciones pasan por un servidor controlado por los estafadores. Así, estos recuperan las credenciales y la sesión activa.
Este procedimiento, a veces denominado “ataque de intermediario” (man-in-the-middle), permite interceptar incluso los códigos MFA de un solo uso. En algunos casos, la validación biométrica o la confirmación mediante smartphone se aprovecha al instante para que el atacante abra su propia sesión paralela. Para la víctima, la conexión parece normal, mientras que ya existe un acceso no autorizado activo.
Las passkeys están diseñadas para funcionar únicamente con el dominio oficial de un servicio. No obstante, si el usuario es redirigido a un sitio fraudulento cuyo aspecto y dirección se parecen mucho al original, puede llegar a iniciar el proceso de autenticación.
En algunos escenarios, el atacante no intenta robar la clave privada en sí, sino secuestrar la sesión ya abierta tras la validación. El objetivo pasa a ser el control de la cuenta mediante cookies de sesión interceptadas. La complejidad técnica del ataque aumenta, pero sigue siendo posible frente a una persona poco vigilante.
Aunque estos ataques son sofisticados, algunos indicios pueden delatar un sitio espejo. A veces las diferencias son mínimas, pero existen. Revisar con atención sigue siendo un reflejo esencial.
Un comportamiento anómalo de la cuenta después de iniciar sesión (mensajes enviados, ajustes modificados) también debe alertar. En ese caso, conviene actuar de inmediato.
Los organismos oficiales recuerdan que la vigilancia humana sigue siendo determinante. En España, INCIBE / OSI (ES) publica regularmente recomendaciones prácticas. En México, la Ciberguía de la SSPC (MX) reúne orientaciones y recursos. Para denunciar contenidos o incidentes, pueden utilizarse la Oficina Virtual de Denuncias de la Policía Nacional (ES), la Guardia Civil (ES), o la Policía Cibernética (MX). En materia de prácticas comerciales engañosas, se puede consultar al Ministerio de Derechos Sociales, Consumo y Agenda 2030 / Consumo (ES) y a la PROFECO (MX).
Varias medidas concretas pueden reducir el riesgo:
Las empresas y administraciones también deben formar a sus equipos frente a las nuevas formas de phishing en tiempo real. La concienciación sigue siendo un dique esencial.
Si persiste la duda tras un inicio de sesión sospechoso, se recomienda cambiar de inmediato la configuración de seguridad de la cuenta afectada. Esto incluye revocar las sesiones activas y restablecer los métodos de autenticación.
Después, hay que vigilar operaciones inusuales y contactar con el servicio de atención oficial de la plataforma. Reportar el incidente ante las autoridades competentes ayuda a limitar la propagación de la estafa. Hay consejos adicionales en nuestra guía dedicada a la prevención de estafas digitales, en particular en nuestro artículo sobre las buenas prácticas para evitar estafas en línea.
Las passkeys y la MFA representan un avance importante en materia de seguridad digital. Sin embargo, el ingenio de los estafadores demuestra que la tecnología por sí sola no basta. Los ataques de interceptación de sesión en tiempo real explotan sobre todo la confianza y la prisa de las personas.
Adoptar reflejos sencillos, verificar cada solicitud de autenticación e informarse con regularidad sobre los nuevos métodos de estafa sigue siendo indispensable. Para profundizar, consulta también nuestro dossier completo sobre los mecanismos del fraude y los pasos a seguir en caso de estafa.
Estafa O Confiable: La referencia independiente y gratuita dedicada a la información antifraude, al análisis de prácticas engañosas y a la protección de los consumidores frente a los riesgos en línea. Nuestro equipo publica artículos, alertas y contenidos pedagógicos para ayudar a los internautas a detectar señales de estafa, comprender los mecanismos del fraude y adoptar los reflejos adecuados frente a las estafas digitales.
Su objetivo: contribuir a la prevención de las estafas, del phishing, de los sitios falsos, de las suplantaciones y de las manipulaciones comerciales en línea, ofreciendo contenidos claros, rigurosos y útiles basados en el análisis de señales verificables, testimonios y fuentes fiables.
Advertencias: La información presentada en este blog se ofrece con fines informativos y preventivos. No constituye ni recomendaciones oficiales ni asesoramiento jurídico, financiero o técnico personalizado. Debe verificarse con los organismos, servicios o interlocutores competentes según la situación. No somos responsables de errores, omisiones o de un uso inapropiado de la información proporcionada en este sitio. Si detecta alguna inexactitud, infórmenos.