Correo electrónico de recuperación cambiado (estafa por correo electrónico)

Es fundamental mantenerse alerta ante correos electrónicos inesperados, especialmente aquellos que indican un problema con una cuenta en línea. Los ciberdelincuentes suelen suplantar la identidad de servicios de confianza para generar una sensación de urgencia y presionar a los destinatarios para que actúen sin verificar la legitimidad del mensaje. El correo electrónico "Correo electrónico de recuperación modificado" es un ejemplo de estafa de phishing diseñada para robar credenciales de inicio de sesión confidenciales. Es importante destacar que estos correos electrónicos no están asociados con ninguna empresa, organización, proveedor de correo electrónico ni servicio de correo web legítimo.

Estafa del correo electrónico de recuperación cambiado: una descripción general

La campaña de correo electrónico «Se ha cambiado el correo electrónico de recuperación» se hace pasar por una notificación de seguridad de un proveedor de correo web. Su objetivo principal es convencer a los destinatarios de que la seguridad de su cuenta se ha visto comprometida y que deben tomar medidas inmediatas.

Normalmente, el correo electrónico llega con el asunto «Riesgo de seguridad: Cambios en los datos de recuperación» e informa al destinatario de que la dirección de correo electrónico de recuperación vinculada a su cuenta se ha modificado recientemente. Para que la alerta parezca auténtica, el mensaje incluye un botón destacado de «Consultar actividad» y afirma provenir de una empresa llamada «Webmail LLC».

A pesar de su apariencia convincente, toda la notificación es fraudulenta. El nombre de la organización, la marca y la advertencia de seguridad han sido inventados con el único propósito de engañar a los destinatarios para que revelen sus credenciales de acceso.

Cómo funciona la estafa

El ataque se basa en técnicas de ingeniería social que explotan el miedo y la urgencia. Se induce a los destinatarios a creer que se han realizado cambios no autorizados en su cuenta, lo que los lleva a hacer clic en el botón proporcionado para investigar el supuesto incidente de seguridad.

En lugar de dirigir a los usuarios a un portal de inicio de sesión legítimo, el enlace los lleva a una página web engañosa alojada en eu2.contabostorage.com, una plataforma de almacenamiento en la nube que ha sido utilizada indebidamente para distribuir contenido de phishing. La página muestra un formulario de inicio de sesión falso superpuesto a una interfaz de Gmail de aspecto realista o a un diseño similar al de otro proveedor de correo electrónico.

La evidencia sugiere que la página de phishing puede adaptar dinámicamente su apariencia según la dirección de correo electrónico del destinatario. La URL parece contener información codificada sobre el objetivo, lo que permite que la página muestre una imagen de marca que coincida con la del proveedor de correo electrónico de la víctima, aumentando así su credibilidad.

El verdadero peligro detrás de la página de inicio de sesión falsa

La página fraudulenta solicita la dirección de correo electrónico y la contraseña del visitante con el pretexto de verificar la titularidad de la cuenta. Toda la información introducida en el formulario se transmite directamente a los estafadores.

Una vez que los ciberdelincuentes obtienen acceso a una cuenta de correo electrónico, las consecuencias pueden ser graves. Las cuentas de correo electrónico suelen servir como puerta de entrada a numerosos servicios en línea, lo que las convierte en objetivos de gran valor. Los atacantes pueden utilizar las cuentas comprometidas para:

• Restablecer contraseñas para servicios vinculados y cuentas de redes sociales
• Robar información personal, datos financieros y comunicaciones confidenciales.
• Realizar estafas de robo de identidad y suplantación de identidad.
• Enviar correos electrónicos de phishing a amigos, familiares y contactos comerciales.
• Obtén acceso a almacenamiento en la nube, plataformas bancarias u otras cuentas conectadas.

Dado que las cuentas de correo electrónico suelen contener años de correspondencia personal y profesional, una vulneración exitosa puede ocasionar graves daños a la privacidad y a la economía.

Marcas falsas y afirmaciones engañosas

Uno de los aspectos más destacables de esta campaña es el uso indebido de la imagen de marca reconocible asociada al correo web. El correo electrónico intenta generar legitimidad presentándose como una alerta de seguridad oficial de un proveedor de confianza.

Sin embargo, ni Google ni Gmail tienen relación alguna con esta campaña. Asimismo, el supuesto remitente, «Webmail LLC», es simplemente una identidad ficticia creada para llevar a cabo la estafa. Los proveedores de correo electrónico legítimos no utilizan páginas de inicio de sesión de terceros engañosas para verificar la actividad de la cuenta tras las alertas de seguridad.

Riesgos potenciales del malware

Si bien el objetivo principal de esta campaña es el robo de credenciales, las operaciones de phishing también suelen estar vinculadas a la distribución de malware. Los ciberdelincuentes utilizan habitualmente correos electrónicos fraudulentos para propagar software malicioso mediante archivos adjuntos o enlaces dañinos.

El malware puede estar oculto en archivos ejecutables, documentos PDF, archivos de Microsoft Office, archivos comprimidos, scripts u otros formatos de archivo. En muchos casos, el proceso de infección comienza solo después de que la víctima abre un archivo adjunto, habilita macros maliciosas o descarga y ejecuta un archivo desde un sitio web vinculado.

Algunas páginas de phishing incluso pueden incitar a los visitantes a instalar software supuestamente necesario para la verificación o la seguridad. Seguir estas instrucciones puede provocar infecciones de malware que comprometen aún más el dispositivo y los datos de la víctima.

Señales de alerta que revelan la estafa

Varios indicadores ponen de manifiesto la naturaleza fraudulenta del correo electrónico «Correo electrónico de recuperación modificado». El mensaje genera una urgencia innecesaria, afirma que se han producido cambios críticos en la cuenta y redirige a los usuarios a un sitio web externo desconocido en lugar de a un portal oficial de gestión de cuentas. Además, el uso de un nombre de empresa ficticio y una página de inicio de sesión alojada en un servicio de almacenamiento en la nube en lugar de un dominio oficial son señales de alerta importantes.

Los usuarios siempre deben verificar las notificaciones de seguridad abriendo el sitio web de su proveedor de correo electrónico directamente a través de un navegador, en lugar de hacer clic en los enlaces que contienen los correos electrónicos inesperados.

Cómo protegerse

Si recibe un correo electrónico de este tipo, ignórelo y elimínelo. Los destinatarios deben evitar hacer clic en enlaces, abrir archivos adjuntos o ingresar credenciales en sitios web a los que accedan a través de mensajes no solicitados. Quienes ya hayan proporcionado sus datos de inicio de sesión deben cambiar su contraseña de inmediato, activar la autenticación multifactor (si está disponible) y revisar la actividad de su cuenta para detectar cualquier indicio de acceso no autorizado.

Reflexiones finales

El correo electrónico «Correo electrónico de recuperación modificado» es una estafa de phishing disfrazada de notificación de seguridad de correo web. Al afirmar falsamente que una dirección de correo electrónico de recuperación ha sido modificada, los atacantes intentan atraer a los destinatarios a una página de inicio de sesión falsa donde pueden robar sus credenciales. Dado que esta campaña no tiene ninguna conexión con ningún proveedor de correo electrónico legítimo, lo más seguro es evitar interactuar con el mensaje y verificar la seguridad de la cuenta únicamente a través de los canales oficiales.