Las notificaciones no deseadas se triplican: cómo evitar que sean una amenaza para la seguridad

El número mensual de usuarios afectados por las notificaciones ‘push’ fraudulentas de los navegadores ha aumentado desde algo más de 1,7 millones en enero a más de 5,5 millones en septiembre de 2019. En total, durante los primeros nueve meses de 2019, los productos de Kaspersky han protegido a más de 14 millones de usuarios de intentos de notificaciones no deseadas.

Algo de historia
Las notificaciones automáticas en los navegadores se introdujeron hace varios años como una herramienta útil para mantener informados de forma regular a los lectores sobre las actualizaciones. Sin embargo, ahora se utilizan a menudo para bombardear con anuncios no solicitados a los visitantes del sitio web o incluso para animarlos a descargar software malicioso.

Sus investigadores recuerdan que “las funciones útiles y amigables como las notificaciones ‘push’ son herramientas fáciles de usar para llevar a cabo estafas basadas en técnicas de ingeniería social” y, por eso, dicen que su creciente popularidad no es del todo inesperada.

De hecho, a partir de las recientes estafas en las invitaciones de calendario que han detectado sus especialistas, la firma ha decidido profundizar en las relacionadas con las notificaciones push y el phishing para descubrir cómo se abusa de esta herramienta.

Consideraciones
Para comenzar a enviar notificaciones se requiere el consentimiento de un usuario, pero los atacantes han ideado múltiples formas de engañar y obligar a los usuarios a suscribirse. Entre ellas la investigación cita disfrazar el consentimiento con otro tipo de acción. Por ejemplo, por un “captcha”; intercambiar los botones `aceptar y `declinar” en las alertas de suscripción; mostrar notificaciones desde páginas de phishing casi idénticas a las legítimas, y mostrar ventanas emergentes de suscripciones fraudulentas en sitios web.

Tras obtener el consentimiento del usuario, los atacantes les bombardean con mensajes. En este punto, explica que hay acciones menos dañinas como los anuncios cebo sobre temas sociales sensibles, y otras notificaciones fraudulentas, como premios en loterías, ofertas de dinero a cambio de completar una encuesta o similar. “Los sistemas más sofisticados están dirigidos a robar dinero a los usuarios utilizando técnicas de phishing”, advierten los autores.

Un esquema muy común utiliza mensajes que se hacen pasar por notificaciones del sistema, como las alertas de infección de virus. Éstos redirigen a los usuarios a copias de sitios web de confianza y, a continuación, les piden que descarguen varias utilidades de "limpieza de PC" de pago. Sin embargo, el potencial de las notificaciones push que se utilizan para tales estafas no se limita a eso.

Consejos para evitarlas
- Si es posible, bloquee las ofertas de suscripciones, a menos que provengan de sitios conocidos y verificados. Incluso en este caso, vigile para no ser redirigido a un sitio falso.

- Si no pudo evitar la suscripción no solicitada, recuerde que la puede bloquear en la configuración del navegador.

- Utilice soluciones de protección que puedan bloquear notificaciones y suscripciones fraudulentas, eliminar las suscripciones no deseadas ya aceptadas y que incorpore anti-phishing.