Los usuarios de Facebook están siendo advertidos de una campaña de phishing que intenta entrar en las cuentas, disfrazado como un chat de Facebook Messenger de un amigo.

El Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) ha dado la alarma sobre una campaña activa vista en el país, pero presumiblemente igualmente capaz de funcionar en otras partes del mundo, donde los usuarios de Facebook son engañados para que entreguen credenciales que permitirían a un completo desconocido irrumpir en su cuenta.

El ataque funciona así:

El objetivo deseado recibe un mensaje de un amigo a través de Facebook Messenger. El amigo pide el número de teléfono del objetivo. Sin que el usuario objetivo lo sepa, no es su verdadero amigo el que se comunica con él a través de Messenger, sino alguien que ha secuestrado la cuenta de su amigo.

El "amigo" le dice al objetivo que necesita su número de teléfono para participar en un concurso de lotería o un sorteo de premios, y que se enviará un código de verificación al propietario del número de teléfono a través de un SMS.

El "amigo" pide el código.

El número de teléfono y el código de autenticación son suficientes para que el llamado "amigo" inicie sesión en la cuenta del usuario objetivo y cambie la contraseña y la dirección de correo electrónico asociada.

Ahora, capaz de hacerse pasar de manera convincente como el usuario objetivo, el "amigo" intenta estafar a los amigos del usuario objetivo, y así continúa...

En algunos casos, según NCSC-FI, la estafa se ha extendido para solicitar información bancaria o de tarjeta de crédito con el pretexto de que ayudará a transferir el pago de un premio a la cuenta de la víctima.

En una captura de pantalla compartida por NCSC-FI, se muestran mensajes provenientes de un atacante que solicita un número de teléfono móvil para ingresar a una competencia y espera que se envíe un código de verificación por SMS. Un minuto después, el atacante dice que la pareja ha ganado un premio de 8.100 euros y que se necesita el código para recibir los fondos.

Entonces, ¿cuál es el consejo? Me temo que puede que no te guste: no debes confiar en los mensajes de Facebook de nadie, incluidas las personas que conoces. Porque cada vez que recibe un mensaje, no puede estar seguro de que realmente haya sido de la persona que dice haberlo enviado; todo lo que puede saber (y este no es siempre el caso) es que fue su cuenta la que envió el mensaje.

Por lo tanto, si alguien le dice algo que está fuera de lugar, o le pide que haga algo o le pide información personal que normalmente no solicitaría, trate la comunicación con sospecha. Tal vez ponerse en contacto con la persona que cree que se está comunicando con usted a través de un método diferente para asegurarse de que es quien cree que se está comunicando con usted.

Y si alguien le pide que envíe un código de verificación de seguridad, siempre debe rechazarlo.

Aunque se ha informado que estos ataques en particular ocurrieron en Finlandia, no hay ninguna razón técnica por la que no puedan estar ocurriendo en otras partes del mundo y utilizando diferentes idiomas.

En ocasiones, los usuarios han caído en una falsa sensación de seguridad cuando son estafados en su propio idioma porque están muy acostumbrados a que los phishers y los ladrones de identidad se concentren en los principales idiomas, como el inglés.