La peligrosa estafa que podría dejarlo con millonarias deudas por notificaciones falsas

Las estafas en línea continúan adaptándose y ahora se presentan como aparentes métodos para obtener credenciales de inicio de sesión. El propósito principal de estos ataques es obtener acceso a la información empresarial haciéndose pasar por un usuario legítimo.

Con ese control, los delincuentes digitales pueden ejecutar acciones maliciosas como implementar ataques altamente elaborados o remitir correos electrónicos de phishing que contengan datos internos y privilegiados, incrementando así las posibilidades de engañar a sus víctimas.

De acuerdo con el portal especializado en ciberseguridad Malwarebytes.com, el llamado bombardeo de MFA —también identificado como “bombardeo push” o “fatiga de MFA”— es una técnica que busca desgastar la paciencia del usuario mediante un asedio constante de solicitudes de verificación.

Esta modalidad intenta vulnerar cuentas protegidas con autenticación multifactor (MFA), un sistema que, por lo general, exige ingresar un código de seis dígitos recibido por SMS, generado en una aplicación o aceptar una notificación push después de introducir usuario y contraseña, lo que eleva significativamente el nivel de seguridad y complica la tarea de los atacantes.

Ante la dificultad de vulnerar directamente la autenticación multifactor, muchos delincuentes han optado por manipular al propio usuario para que la evada sin darse cuenta.

Para lograrlo, emplean credenciales robadas e intentan iniciar sesión o restablecer la contraseña de forma repetida, generando una avalancha de notificaciones push y mensajes que solicitan la aprobación del acceso o el cambio de clave. El objetivo es que la víctima, agotada o confundida, termine aceptando la solicitud o siguiendo las instrucciones, solo para detener el acoso digital.

Sin embargo, tal como advierte el blog de Brian Krebs, esta táctica ha evolucionado: si el usuario resiste la presión de los avisos incesantes, los atacantes recurren a una llamada telefónica, haciéndose pasar por personal de soporte, para “ayudar” y así culminar su engaño.

En uno de los casos relatados por Brian Krebs, los atacantes saturaron el teléfono de una persona con una serie interminable de notificaciones para restablecer la contraseña de su ID de Apple. Cada mensaje obligaba al usuario a elegir entre ‘Permitir’ o ‘No permitir’ antes de poder volver a utilizar el dispositivo con normalidad. La víctima, con notable paciencia, logró rechazar más de un centenar de solicitudes sin ceder a la presión.

Aunque los delincuentes no se dan por vencidos y pasan a la siguiente fase, según el ejemplo reseñado en el blog, una llamada telefónica desde un número falsificado que aparentaba ser el soporte técnico de Apple. Durante la conversación, intentaron convencer a la víctima de iniciar un restablecimiento de contraseña y compartir el código temporal enviado a su equipo.

Con ese código, habrían podido cambiar la clave y tomar el control de la cuenta. Afortunadamente, la víctima sospechó de la autenticidad de la llamada y pidió a los supuestos agentes que confirmaran datos personales; al equivocarse con su nombre, dejaron en evidencia que se trataba de un fraude.