Estafa de intento de inicio de sesión inusual

La estafa del "Intento de inicio de sesión inusual" es un engañoso método en línea que suplanta advertencias de seguridad legítimas para asustar a los usuarios y obligarlos a comprar software antivirus a través de un enlace de afiliado. La página fraudulenta imita componentes de seguridad de Windows, muestra detecciones de amenazas falsas y crea una falsa sensación de urgencia al afirmar que una cuenta o dispositivo ha sido comprometido.

A pesar de hacer referencia a productos de seguridad conocidos y utilizar imágenes que se asemejan a alertas reales del sistema operativo, este sitio web no está asociado con ninguna empresa, organización o entidad legítima. Los proveedores y marcas de ciberseguridad mencionados en la página no tienen ninguna relación con este plan ni respaldan sus actividades.

La falsa advertencia de seguridad que inicia el ataque.

La estafa comienza con una ventana emergente roja que imita el panel de notificaciones de seguridad de Windows. Afirma que se ha detectado un intento de inicio de sesión inusual y presenta lo que parecen ser pruebas técnicas que respaldan la advertencia.

La página muestra detalles inventados, entre ellos:

• Una supuesta dirección IP vinculada a la actividad sospechosa.
• Un país desde el cual supuestamente se originó el intento de inicio de sesión.
• Información sobre el navegador supuestamente utilizado durante la intrusión.
• Una barra de progreso "CARGANDO" que sugiere que se está produciendo un ataque.

Al mismo tiempo, se muestra a los visitantes una notificación del navegador que imita una alerta legítima de Microsoft Defender. Esta alerta advierte sobre un intento de restablecimiento de contraseña del sistema e interceptación de datos Wi-Fi, y ofrece botones con las etiquetas "Archivar", "Actualizar protección" y "Análisis del sistema". Estos mensajes son completamente ficticios y solo sirven para que la estafa parezca legítima.

Por qué las alertas son completamente falsas

Las advertencias que muestra la página no guardan relación con el estado real del sistema del visitante. Ni Microsoft ni Windows utilizan sitios web de terceros para mostrar alertas de seguridad mediante ventanas emergentes en el navegador.

Las notificaciones de seguridad legítimas provienen del software instalado y del propio sistema operativo. Una página web cualquiera no puede monitorizar la actividad de la cuenta, detectar el robo de contraseñas ni identificar intentos de interceptación de Wi-Fi. Toda la pantalla está programada para simular una emergencia y presionar a los usuarios para que actúen sin cuestionar la autenticidad de la información.

El escaneo del sistema falso

Tras interactuar con la página, los visitantes son redirigidos a otra interfaz que imita un análisis de Microsoft Defender.

El escáner falso muestra una barra de progreso, un contador de "Problemas encontrados" con valor 25 y enumera continuamente supuestas detecciones de amenazas utilizando convenciones de nomenclatura similares a las del software de seguridad legítimo. Esta presentación visual pretende convencer a los usuarios de que se está realizando un análisis exhaustivo de malware.

En realidad, los sitios web no pueden realizar análisis antivirus en los dispositivos de los visitantes. Una página web carece de los permisos y las capacidades necesarias para inspeccionar archivos, detectar infecciones o evaluar vulnerabilidades del sistema. Todas las advertencias y detecciones que se muestran durante el proceso están predeterminadas y se visualizan independientemente del estado real del equipo.

Vulnerabilidades críticas fabricadas y denuncias de robo de datos

La fase final de la estafa muestra una página con la etiqueta "Vulnerabilidades críticas detectadas". Se informa a los visitantes de que sus sistemas han sido comprometidos, sus contraseñas han quedado expuestas y que se está produciendo un intento de pirateo de sus cuentas.

Para intensificar la sensación de peligro, la página incluye una barra de progreso de "Copia de datos" que se muestra al 75%, creando la falsa impresión de que se está robando información confidencial.

Estas afirmaciones son completamente falsas. El sitio web no tiene la capacidad de determinar si los archivos están dañados, si las credenciales han sido expuestas o si se están copiando datos del dispositivo. Los mensajes alarmantes existen únicamente para generar pánico y aumentar la probabilidad de que los usuarios sigan las instrucciones de la estafa.

El verdadero objetivo detrás del plan

En la parte inferior de la pantalla de advertencia final hay un botón verde con la etiqueta "Proteger Windows". Al hacer clic en este botón, los visitantes son redirigidos al sitio web de un producto legítimo de ciberseguridad a través de un enlace de afiliado.

Si un visitante compra una suscripción tras seguir la redirección, los responsables de la estafa reciben una comisión. La empresa de software legítima que se promociona no tiene ninguna relación con las tácticas engañosas utilizadas para generar estas referencias.

Este tipo de esquema explota la confianza que los usuarios depositan en marcas de seguridad reconocidas y se vale del miedo para obtener ganancias financieras mediante el abuso del marketing de afiliación.

Cómo las víctimas se topan con la estafa

Los usuarios rara vez visitan intencionalmente las páginas que alojan la estafa del "Intento de inicio de sesión inusual". La mayoría de las víctimas son redirigidas a la estafa mediante prácticas engañosas en línea y redes publicitarias maliciosas.

Las fuentes comunes de estas redirecciones incluyen:

• Anuncios engañosos y ventanas emergentes en sitios web no relacionados.

• Páginas que ofrecen software pirateado, transmisión ilegal o descargas por torrent.

• Correos electrónicos de phishing que contienen enlaces disfrazados.

• Notificaciones procedentes de sitios web fraudulentos previamente aprobados.

• Software publicitario instalado en el dispositivo que fuerza redirecciones durante las sesiones de navegación.

Cómo reconocer estafas similares

Las estafas de seguridad de este tipo comparten varias características comunes. Se basan en mensajes urgentes, gráficos alarmantes e informes de amenazas falsos diseñados para impedir la toma de decisiones racionales.

Una página web debe considerarse sospechosa si:

• Afirma que el dispositivo está infectado sin necesidad de utilizar el software de seguridad instalado.
• Muestra escaneos falsos o recuentos de vulnerabilidades directamente en el navegador.
• Alerta de que se han robado contraseñas o se están copiando archivos en tiempo real.
• Utiliza nombres de empresas conocidas al redirigir a los usuarios a través de enlaces de afiliados.
• Presiona a los visitantes para que compren el software de inmediato y así evitar graves consecuencias.

Reflexiones finales

La estafa del "Intento de inicio de sesión inusual" es un ejemplo clásico de ingeniería social que se aprovecha de la apariencia de productos de seguridad confiables para generar pánico. Mediante alertas falsas, escaneos de sistema fraudulentos y escenarios inventados de robo de datos, los estafadores intentan presionar a los visitantes para que compren software a través de enlaces de afiliados.

Mantener un sano escepticismo ante las advertencias de seguridad inesperadas y recordar que los sitios web no pueden realizar análisis del sistema son pasos esenciales para evitar esta y otras estafas en línea similares.