Hay una nueva campaña de phishing que preocupa a las autoridades de seguridad online en Portugal. Esta campaña, centrada en la obtención indebida de datos sensibles, tiene como objetivo principal la Clave Móvil Digital (CMD).
Esta es una herramienta utilizada para la autenticación en varios sitios web públicos y privados en Portugal. El Centro Nacional de Ciberseguridad (CNCS) advierte de la gravedad de este problema y comparte recomendaciones para mitigar sus efectos.
¿Qué técnicas de ataque se utilizan?
La campaña de phishing ha utilizado varias técnicas, empezando por el smishing y el spoofing. Las víctimas reciben SMS falsos en nombre de CMD, que advierten sobre actividades sospechosas e instruyen a los usuarios a acceder a URL maliciosas.
Este es sólo el primer paso de una serie de pasos complejos. También hay otros, como la creación de sitios web falsos que simulan la interfaz de CMD e incluso de instituciones bancarias.
Por lo tanto, a los usuarios dirigidos a estos sitios web fraudulentos se les solicita que proporcionen información aún más confidencial. Desde números de teléfono asociados a CMD y datos de acceso a cuentas bancarias.
También se ponen en práctica técnicas de vishing (phishing telefónico). Los atacantes a menudo se hacen pasar por empleados legítimos del banco o de CMD y engañan a las víctimas para que obtengan información privilegiada.
¿Cuáles son las recomendaciones de la CNCS?
La CNCS destaca la importancia de adoptar buenas prácticas de seguridad. Entre estas recomendaciones se destaca la precaución al pulsar en enlaces sospechosos, especialmente cuando se solicitan mediante SMS o llamadas telefónicas.
Y siempre vale la pena resaltar que nunca se deben compartir códigos o credenciales de acceso a través de estos medios, incluso si la solicitud parece legítima. Otra medida crucial es activar la autenticación multifactor en todas las cuentas en línea siempre que sea posible. Esto agrega una capa adicional de seguridad.
Además, si eres víctima de un ataque de este tipo, es imprescindible denunciar el incidente a las autoridades competentes. Está el CERT.PT y la Policía Judicial, que pueden investigar y tomar las medidas adecuadas.
Si, lamentablemente, eres víctima de un ataque de phishing y compartes tus datos confidenciales, es importante actuar rápidamente. Contacta inmediatamente con la entidad responsable del dato en cuestión, como CMD o tu banco, e infórmales de lo sucedido. Solicita la cancelación de códigos y contraseñas comprometidas y sigue las instrucciones proporcionadas por la entidad para proteger tu cuenta y minimizar el daño causado.