Loading...

Nueva modalidad de phishing detectada: mucho ojo con las PWA

Este tipo de sitios, a medio camino entre las webs y las apps, también se pueden suplantar: los estafadores crean ventanas con URLs convincentes para engañar a los usuarios

Juan Manuel Del Olmo

Una mujer sufre una estafa tipo phishing / FREEPIK

Las aplicaciones web progresivas (PWA) son un término medio entre las webs tradicionales y las aplicaciones clásicas (las que cualquiera podría descargar en Google Play). Permiten realizar tareas que generalmente se adjudicaban a las apps, e incluyen grandes ventajas, como la posibilidad de ver notificaciones o de funcionar sin conexión a Internet. Aunque podría confundirse con una extensión del navegador web, no tiene nada que ver. No obstante, es un software que también tienen sus riesgos.

Tal y como explica la empresa especializada en Ciberseguridad Kaspersky, todos los navegadores modernos, incluido Chrome, admiten las PWA. Una de sus características principales es que no tienen barras de direcciones, lo que a priori es una ventaja… pero también facilita las cosas a los ciberestafadores, que pueden “dibujar una barra propia que muestre una URL que satisfaga sus objetivos de phishing”.

Cómo funciona el ataque de phising

Hay que recordar que el phishing es un tipo de ataque muy común y, hasta cierto punto, peligroso. Por ejemplo, imaginemos que una persona recibe un correo electrónico que parece ser de su banco o de una tienda muy conocida, como Zara o Ikea. En el mensaje se le dice que tiene acceso a una oferta especial, y se le pide al receptor que actualice sus datos personales o le invita a clicar en un enlace para acceder a su cuenta.

Una persona recibe un correo sospechoso / UNSPLASH

Este correo electrónico podría ser un ataque de phishing cuyo objetivo es que el usuario releve información personal como contraseñas, números de tarjetas de crédito o datos bancarios. 

Cómo detectar los ataques

Este tipo de mensajes suelen tener un tono urgente o alarmante: los estafadores instan a la víctima a actuar rápido para evitar problemas o aprovechar una oferta.

Además, aunque cada vez son menos frecuentes, no es raro que haya erroes ortográficos o gramaticales. Y, por supuesto, enlaces o archivos adjuntos sospechosos: si haces clic en ellos, podrías ser dirigido a un sitio web falso o descargar malware en tu dispositivo.

Cómo funciona la estafa de las PWA

Así, en el caso de las PWA, los estafadores simplemente tienen que crear ventanas con URLs convincentes para engañar a los usuarios. Tras esto, deben convencer a la víctima para que instale dicha PWA. “Sin embargo, esto se puede lograr fácilmente utilizando un lenguaje persuasivo y elementos de interfaz diseñados inteligentemente”, advierten desde Kaspersky.

Una persona sostiene un teléfono / FREEPIK

El proceso para robar una contraseña mediante una PWA, explican, se suele desarrollar de la siguiente manera:

  • La víctima abre un sitio web malicioso.
  • El sitio web convence a la víctima para que instale la PWA.
  • La instalación ocurre casi al instante y se abre la ventana de la PWA.
  • Se abre una página de phishing con una barra de direcciones falsa en la que se muestra una URL que parece legítima en la ventana de la PWA.
  • La víctima introduce sus credenciales de inicio de sesión en el formulario, con lo que se las proporcionará directamente a los atacantes.