Clicky

El último intento de Google para acabar con el phishing

phishing

Prohibirá los inicios de sesión que usen navegadores integrados para evitar ataques "man in the middle"

Google está tratando de evitar ataques 'man in the middle', de intermediario o hombre en el medio, al impedir inicios de sesión en los navegadores integrados, un movimiento que agregará una capa adicional de seguridad cibernética.

Según la compañía, el cambio comenzará en junio y evitará que se realicen inicios de sesión en un navegador web dedicado como Safari, Chrome o Firefox.

Si bien muchas aplicaciones utilizan navegadores integrados como un medio de conveniencia, lo que permite a los usuarios permanecer en una aplicación para ingresar sus credenciales en lugar de tener que usar un navegador móvil dedicado, Google dijo que la característica pone a los usuarios en un riesgo innecesario.

Una de las principales preocupaciones, dijo la compañía, es un tipo de estafa de phishing conocida como 'hombre en el medio'.

'Una forma de phishing, conocida como "man in the middle" (MITM), es difícil de detectar cuando se está utilizando un framework de navegador integrado... u otra plataforma de automatización para la autenticación', se lee en una publicación del blog de Seguridad de Google.

"MITM intercepta en tiempo real las comunicaciones entre un usuario y Google para recopilar las credenciales del usuario (incluido el segundo factor en algunos casos) e iniciar sesión".

Debido a que Google no puede diferenciar entre alguien que intenta falsificar una cuenta y el propietario legítimo, ha decidido eliminar completamente los inicios de sesión incrustados, dijo la compañía.

Del mismo modo, Google también ha introducido funciones de "navegación segura" que notifican a los usuarios cuando navegan en un sitio web potencialmente dañino y funciones de notificación agregadas que les permiten saber cuándo se ha iniciado sesión en su cuenta desde un nuevo dispositivo.

Con el aumento del uso y la conectividad de las aplicaciones móviles, las estafas de suplantación de identidad (phishing) se han extendido rápidamente por Internet en los últimos años.

Muchos ataques relacionados con el uso del correo electrónico también se han vuelto cada vez más sofisticados.

En 2017 un ataque particularmente eficaz contra los usuarios de Gmail fue orquestado por estafadores que, con acceso a una cuenta de correo electrónico de las víctimas, pudieron hacerse pasar por esa persona para infectar las computadoras de los contactos de las primeras víctimas.

Disfrazados como la primera víctima, los estafadores enviarían un falso Google Doc que contenía un enlace de phishing a uno o más de sus contactos utilizando la dirección de correo electrónico de la víctima. Si se abre, se enviaría a la segunda víctima a una falsa página de inicio de sesión de Google donde los estafadores recogerían las credenciales de la segunda víctima.

La ataque de phishing comprometió las cuentas de al menos 1 millón de cuentas de Gmail de acuerdo con Forbes.

La eliminación de los inicios de sesión incrustados o embebidos se produce inmediatamente después de una serie de nuevas características de seguridad anunciadas por Google este mes que se enfocan específicamente en el phishing y buscan educar sobre las "mejores prácticas".

Jesus_Caceres