Pre-hijacking: en qué consiste la nueva estafa que se está volviendo una fiebre en países como Brasil
Imagina esta situación: te despiertas una mañana cualquiera, abres tu bandeja de entrada y encuentras un e-mail de un sitio cualquiera en el cual se te agradece por un registro que supuestamente hiciste durante la madrugada. Es una situación bastante atípica que dejaría a cualquier persona desconfiada. ¿Cómo reaccionarías tú? ¿Llegarías a la conclusión de que sufres de sonambulismo? ¿Pensarías que algún miembro de tu familia usó tu dispositivo mientras estabas durmiendo?
Lo cierto es que la mayoría de los internautas, por pura curiosidad, intentarían hacer login en esa plataforma. Pero... ¿cómo podrías hacerlo si ni siquiera sabes qué contraseña se usó durante el registro? Bueno, eso se soluciona fácilmente: basta con clicar en el botón de recuperación de contraseña para obtener acceso a la cuenta. Cuando ya esté autenticado, seguramente el usuario “revisará” el sitio en cuestión y, si se interesa por las funcionalidades, podrá incluso completar su perfil informando más detalles personales.
Te contamos que, si sigues todos esos pasos que hemos descrito, serías una víctima más de una nueva estafa que se ha propagado por la internet. Se trata del pre-hijacking, que, en español, significa algo como “presecuestro”. Es una maniobra maliciosa en la cual un delincuente cibernético se apodera de una cuenta que tú ni siquiera tienes todavía. Esta maniobra es más común de lo que muchos imaginan y hay relatos de víctimas de varios países, incluso brasileñas.
Robándote lo que (aun) no tienes
El concepto por detrás del presecuestro es simple, pero bastante ingenioso. Primero, el estafador usa direcciones de e-mail filtradas en otros incidentes para crear cuentas en sitios aleatorios. La víctima, al recibir la notificación de que se creó una cuenta con su e-mail, intentará obtener acceso por pura curiosidad. Para eso, necesitará redefinir la contraseña usando el recurso de recuperación, con altas probabilidades de elegir una combinación que ya utilice en otro servicio de la web.
En ese momento, el estafador se aprovecha de una falla estructural que existe en varios sitios: permitir que dos personas se mantengan conectadas al servicio simultáneamente en dos dispositivos distintos. El delincuente, entonces, roba la contraseña que tú registraste para usarla para invadir otras cuentas en el futuro. Si la víctima usa una contraseña que ya usa en otros servicios, el malhechor tendrá éxito en su propósito.
Como ya lo hemos mencionado, el presecuestro puede volverse aun más peligroso si, por algún motivo, la víctima se interesa por el sitio en el cual se registró el delincuente y pasa a usarlo normalmente, completando, además, el perfil con más información personal e incluso proporcionando sus datos bancarios. Toda esa información estará a disposición del atacante, que, conectado a la cuenta, podrá robar esos datos sin hacer el mínimo esfuerzo.
Fácil de evitar
Como puedes constatar, el pre-hijacking es una estafa muy ingeniosa y simple, pero que depende, sobre todo, de la curiosidad y de la ingenuidad del internauta para tener éxito. Si recibes un e-mail en el cual se te confirma la creación de una cuenta en un sitio en el cual no recuerdas haberte registrado, simplemente ignóralo o usa el recurso de recuperación de contraseña solo para registrar una contraseña aleatoria y eliminar el perfil inmediatamente.