Un reciente ataque de phishing perpetrado a través de YouTube ha puesto nuevamente en evidencia que el ingenio de los hackers está siempre unos pasos adelante, sin importar qué tanto empeño pongan las plataformas en reforzar la seguridad. En días pasados, piratas informáticos realizaron una campaña de suplantación de identidad haciéndose pasar por la popular plataforma de vídeos perteneciente a Google. Pero lo que verdaderamente llamó la atención fue que los correos electrónicos utilizados provenían de una dirección @youtube.com.
Esto significa que el ataque de phishing se realizó por medio de una vía de comunicación oficial de YouTube. No obstante, no quiere decir que los hackers hayan robado una dirección de e-mail oficial para utilizarla con fines maliciosos. Lo que hicieron fue explotar el sistema que permite compartir vídeos por correo electrónico, obteniendo resultados peligrosamente efectivos.
Los detalles oficiales de esta campaña de suplantación de identidad no han sido revelados, pero se ha determinado cómo funcionaba el ataque en líneas generales. Lo que hacían los usuarios malintencionados era crear canales de YouTube con nombres similares a los oficiales —YouTubeTeam, por ejemplo—, y subir vídeos que dejaban listados como privados. De esta forma, el contenido no podía ser encontrado por los usuarios a través del buscador.
Esos vídeos llevaban títulos como "Cambios en las reglas y políticas de YouTube | Revisa la descripción". En tanto que en la propia descripción era donde sucedía el ataque de phishing. Allí, los hackers introducían un enlace a Google Drive donde las víctimas debían ingresar los datos de sus cuentas, porque de lo contrario supuestamente las perderían. Como se imaginarán, la información caía en manos de los actores maliciosos, quienes tomaban control del canal de YouTube atacado y de la cuenta de Gmail vinculada.
Un nuevo ataque de phishing generado desde YouTube
Pero lo verdaderamente importante aquí es el método de distribución de las publicaciones maliciosas. Como dijimos al comienzo, la campaña se realizó a través de la dirección no-reply@youtube.com; es decir, un correo electrónico oficial de YouTube. Para ello se sacó provecho de la herramienta para compartir vídeos por e-mail.
Al compartir un vídeo privado por correo electrónico, se generaba un mensaje que incorporaba el título del mismo en el asunto del e-mail. Así, las víctimas recibían un mensaje que, por ejemplo, indicaba: "YouTubeTeam te ha enviado un vídeo: Cambios en las reglas y políticas de YouTube | Revisa la descripción". Con un título que parecía una comunicación formal y un remitente oficial de YouTube, es imposible que alguna persona no haya caído en este ataque de phishing. Al menos hasta que se activaron las alarmas en redes sociales.
El gran problema aquí es que esta campaña de suplantación de identidad ha logrado romper una regla de oro que, hasta ahora, garantizaba evitar este tipo de hackeos: verificar la veracidad del remitente. Hasta no mucho tiempo atrás, cotejar la dirección de correo electrónico era la opción más sencilla para saber si estábamos siendo víctimas de un ataque de phishing. Pero es evidente que ahora ya no es suficiente.
En infinidad de oportunidades nos hemos encontrado con mensajes de correo electrónico que replicaban al detalle la estética, la tipografía y el contenido de las comunicaciones de determinadas plataformas con fines fraudulentos. Sin embargo, era bastante sencillo darse cuenta si era legítimo o no.
Si una advertencia sobre cambios en YouTube parecía verídica, pero llegaba desde una dirección tipo @youtube-mailroom.cripto, no había que pensar mucho para descartarla. Pero si las campañas de phishing ahora se pueden divulgar con herramientas oficiales, se ha roto una defensa que no era tan infalible como creíamos. Y así como esta vez ha sucedido con YouTube, es imposible no pensar que algo similar podría suceder con otros servicios.
Cambios para mitigar la suplantación de identidad
En el caso de YouTube, en los últimos días se han aplicado cambios para tratar de evitar que esta opción se siga explotando. Específicamente, se ha optado por modificar el formato de los mensajes que se reciben cuando alguien te envía un vídeo privado. En lugar de incorporar el título del vídeo en el asunto, el e-mail solo dice "Un vídeo privado ha sido compartido contigo". Sin embargo, nada garantiza que esto sea suficiente para evitar caer en la trampa.
Queda claro que los ataques de phishing evolucionan continuamente, por lo que es necesario estar siempre alertas. Si recibes correos electrónicos que te resultan sospechosos, no hagas clic en los enlaces que incluyan ni descargues materiales adjuntos. No importa si provienen de una dirección legítima. Una búsqueda rápida en Google puede ayudarte a identificar si se trata de una campaña verídica o de un intento de suplantación de identidad.