Entradas de blog etiquetadas con ' #accountsecurity ' Rss

La respuesta se envía de vuelta a su ordenador, que la reenvía al usuario no autorizado.

En muchos casos, los usuarios autorizados no se dan cuenta de que su ordenador ha sido comprometido. 

Las redes proxy residenciales están compuestas por cientos o miles de direcciones IP residenciales. Por lo general, son administradas por proveedores o empresas de alojamiento web que no preguntan cómo sus clientes utilizan estas IP ni por qué necesitan acceso residencial.

El valor de estas direcciones IP residenciales reside en su autenticidad, algo que la infraestructura de proxy tradicional no puede replicar fácilmente.

Consideremos dos llamadas telefónicas. Una es de un amigo de confianza que te dice que consiguió una gran oferta en un producto que ambos buscaban y dónde encontrarlo en línea. La otra es de una empresa con la que ya has tenido contacto, ofreciéndote la misma información. Si bien el contenido es el mismo, la fuente es diferente. Es más probable que confíes en alguien que conoces que en alguien que no conoces.

Las direcciones IP residenciales ofrecen el mismo tipo de confianza a las organizaciones. Si solicitan información (aparentemente) a usuarios residenciales, estos tienden a confiar en ellas.

Si bien existen casos de uso legítimos para las redes de proxy residenciales, como el anonimato en línea para una mayor protección individual o la monitorización SEO en múltiples ubicaciones para empresas, estas redes suelen estar gestionadas por empresas que no se preguntan qué hacen los usuarios ni por qué. 

Esto ofrece múltiples oportunidades para los actores malintencionados, entre ellas:

• Infracciones de derechos de autor
• Fraude publicitario y fraude de clics
• Eludir los sistemas antifraude
• Ataques de pulverización de contraseñas y credenciales
• Difundir desinformación en las redes sociales

Google contra IPIDEA: perturbando las operaciones de proxy residenciales

Una de las mayores redes de proxy residenciales del mundo era IPIDEA. Operada por una empresa con sede en China, esta red secuestró millones de dispositivos de usuarios finales sin su consentimiento. Entre estos dispositivos se incluían ordenadores, teléfonos inteligentes y televisores inteligentes. Mediante kits de desarrollo de software (SDK), IPIDEA pudo instalar su programa proxy en dichos dispositivos. 

En algunos casos, la empresa pagaba a los desarrolladores para que incluyeran estos SDK en sus aplicaciones, lo que a su vez infectaba los dispositivos. IPIDEA también ofrecía VPN "gratuitas" que instalaban el software proxy al usarse e integraban sus SDK en aplicaciones y juegos gratuitos. Si bien IPIDEA y redes similares suelen afirmar públicamente que sus proxies residenciales se obtienen de forma legítima y con consentimiento, el análisis de los SDK de IPIDEA demostró que estaban diseñados para integrarse en otras aplicaciones sin ningún mecanismo de consentimiento.

Para ayudar a reducir el riesgo de ataques de proxy residenciales e impedir las operaciones de IPIDEA, el Grupo de Inteligencia de Amenazas de Google (GTIG) llevó a cabo tres acciones:

1. Se desactivaron los dominios utilizados para controlar dispositivos y tráfico proxy.
2. Compartir información sobre los kits de desarrollo de software IPIDEA y las herramientas de software proxy con las fuerzas del orden y las empresas de investigación para mejorar la concienciación y la aplicación de la ley.
3. Se garantizó que Google Play Protect para dispositivos Android advirtiera automáticamente a los usuarios sobre las aplicaciones IPIDEA, eliminara estas aplicaciones si estaban instaladas y bloqueara cualquier intento de instalación futuro. 

Según Google, estos esfuerzos conjuntos han provocado una degradación significativa de la red proxy y las operaciones comerciales de IPIDEA, reduciendo en millones el número de dispositivos disponibles para los operadores de proxy. Si bien esto no elimina la amenaza que representan IPIDEA y redes proxy similares, las acciones de Google han dificultado que los ciberdelincuentes instalen y operen servidores proxy sin el consentimiento del usuario. 

Cómo protegerse de los testaferros residenciales

Si tu dispositivo se ve comprometido por un proxy residencial que luego es utilizado por un atacante malintencionado, podrías verte involucrado en investigaciones policiales o de fraude. Además, estos proxies pueden contener malware y otras cargas maliciosas que afecten el funcionamiento de tu dispositivo.

Para protegerse se recomienda:

• Evitar los servicios de transmisión de TV que afirman ofrecer contenido gratuito, como películas o deportes.
• Hay que tener precaución al usar cualquier servicio VPN, especialmente los gratuitos.
• Utilizar únicamente tiendas de aplicaciones de confianza y aplicaciones de editores reconocidos.

• Asegurarse de que todos los sistemas operativos, aplicaciones y herramientas de seguridad estén actualizados.

Una campaña de phishing utiliza una página de seguridad de una cuenta de Google falsificada para distribuir una aplicación web progresiva (PWA) maliciosa. La aplicación está diseñada para robar contraseñas de un solo uso, recopilar direcciones de monederos de criptomonedas y convertir los navegadores de las víctimas en servidores proxy para el tráfico de los atacantes.

¿Cuál es la amenaza?

El sitio falso de seguridad de Google forma parte de un esquema de phishing que imita páginas legítimas de verificación de cuentas de Google. Las víctimas son redirigidas a él mediante enlaces que parecen genuinos, a menudo enviados por correo electrónico, anuncios o sitios web comprometidos.

En lugar de presentar un formulario típico de phishing, los atacantes activan la instalación de una PWA directamente en el navegador de la víctima, simulando la interfaz de una aplicación confiable. Sus atributos clave incluyen:

• Ventanas emergentes engañosas de alerta de seguridad
• Indicaciones para volver a verificar o iniciar sesión
• Ventanas que imitan los diálogos nativos del sistema
• Recopilación de credenciales de usuario en tiempo real

A diferencia de los sitios de phishing estándar, la PWA puede permanecer activa incluso después de cerrar el navegador, lo que dificulta su detección.

¿Por qué es digno de mención?

Esta campaña combina ingeniería social con funcionalidades de PWA para que la página de seguridad falsa de Google parezca legítima. Los atacantes utilizan el dominio "google-prism[.]com" y guían a las víctimas a través de un proceso de cuatro pasos que solicita permisos confidenciales y, finalmente, instala la PWA maliciosa.

Una vez instalada, la aplicación puede extraer contactos, ubicación GPS y datos del portapapeles, además de funcionar como proxy de red y escáner de puertos interno. También aprovecha la API WebOTP para capturar códigos de verificación SMS y utiliza notificaciones push para atraer a las víctimas a la aplicación y continuar robando datos.

Una aplicación de Android relacionada, disfrazada de actualización de seguridad urgente, solicita 33 permisos de alto riesgo, como SMS, registros de llamadas, acceso al micrófono y servicios de accesibilidad. Estos permisos facilitan el robo de datos y posibles fraudes financieros. Los usuarios deben tener cuidado con las solicitudes de seguridad no solicitadas y acceder únicamente a las herramientas de la cuenta de Google directamente en myaccount.google.com.

¿Cuál es la exposición o riesgo?

Esta campaña de phishing expone a las víctimas a riesgos significativos, como el robo total de cuentas y pérdidas financieras. Aunque muchos usuarios confían en la autenticación multifactor (MFA), los atacantes la eluden mediante intercepción en tiempo real: la página falsa solicita a las víctimas sus credenciales y códigos de verificación, que se transmiten inmediatamente a los atacantes. A continuación, inician sesión y capturan tokens de sesión válidos antes de que caduquen. Este enfoque de intermediario (AiTM) permite a los delincuentes autenticarse simultáneamente con la víctima, lo que debilita eficazmente las protecciones de la MFA.

La mayoría de las víctimas informan que no sintieron nada sospechoso, pero hay señales de advertencia sutiles: alertas de seguridad inesperadas, solicitudes para instalar una aplicación web como parte de la “verificación”, páginas de inicio de sesión que no están alojadas en dominios oficiales de Google, ventanas emergentes que se comportan como aplicaciones independientes y URL o redirecciones ligeramente alteradas.

Recomendaciones

1. No confíe en ventanas emergentes ni correos electrónicos que le soliciten que “verifique” o “asegura” su cuenta.
2. Escriba manualmente myaccount.google.com o utilice la aplicación de Google; nunca haga clic en los enlaces de seguridad en mensajes o anuncios.
3. No acepte los mensajes “Instalar aplicación” o “Agregar a la pantalla de inicio” a menos que haya iniciado el proceso en un sitio confiable.
4. Verifique la configuración del navegador (Chrome/Edge > Aplicaciones/Aplicaciones instaladas) y elimine cualquier PWA desconocida.
5. Instale aplicaciones de Google o relacionadas con la seguridad únicamente desde Google Play Store y las listas oficiales de desarrolladores.
6. Utilice una aplicación de autenticación (por ejemplo, Google Authenticator, Authy) en lugar de SMS para reducir el riesgo de abuso de WebOTP.

Autenticación de Próxima Generación

MFA está completamente integrado con la plataforma TrustLayer, consolidando la seguridad de correo electrónico, web y aplicaciones en la nube. Gestione políticas, visualice datos y genere informes desde un único portal centralizado.