A menudo solemos ver cómo los piratas informáticos recurren al phishing, o a la suplantación de identidad, para intentar engañar a sus víctimas y poder hacerse con distinta información personal y/o bancaria de la víctima para utilizarla para su propio fin. Este mismo fin de semana, sin ir más lejos, hemos recibido lo que probablemente sea una nueva campaña de phishing que busca robar las credenciales de Steam de la víctima, así como sus datos bancarios, una campaña que, probablemente, sea una de las más poco elegante y descuidadas vistas en los últimos años.
Cada vez los piratas informáticos se esfuerzan más en suplantar la identidad de las empresas para hacer que sus correos sean lo más creíbles posible utilizando dominios personalizados, correos correctamente redactados e incluso una estética similar a la original y enlaces a la web en cuestión. Sin embargo, mientras que cada vez es más complicado identificar estas estafas por su profesionalidad, siempre hay campañas concretas en las que lo complicado es creerlas dadas las obviedades de que son una estafa, como esta nueva campaña de phishing intentando suplantar a Steam.
Aspectos claves de este descuidado intento de phishing de Steam
La verdad es que el anterior correo no tendría ni que ser comentado, ya que desde la primera línea está claro que hay algo que no encaja bien. Si analizamos el emisor del mensaje vamos a poder ver que el mensaje ha sido enviado desde una cuenta de correo “Romeo.Steampowered@hotmail.com“. ¿Steam mandando un mensaje desde una cuenta de hotmail? 😝 Algo empieza a sonar raro. Además, por si fuera poco, el mismo correo llegó hasta 3 veces en un rango de tiempo de media hora.
En cuanto empezamos a analizar el cuerpo del correo podemos ver una serie de errores gramaticales fruto de una mala traducción de un correo que, probablemente, se esté enviando a usuarios en otros idiomas.
Lo primero que nos pide este personaje es nuestro usuario y la contraseña de Steam que utilizamos. Ninguna empresa que se digne nos pedirá nuestra contraseña para ninguna labor, principalmente porque sus técnicos pueden entrar a administrar las cuentas sin necesidad de ella, previa verificación de la mano del usuario (por ejemplo, introduciendo dos caracteres de la misma). Luego, también nos pide los códigos de Steam Wallet (como si los fuéramos a guardar una vez canjeados), así como las últimas claves de CD utilizadas, algo totalmente ilógico.
Por si fuera poco, este grumete (muchacho que en el barco ayuda a la tripulación en sus faenas para aprender el oficio de marinero que no es digno de ser llamado pirata), nos pide también la información de nuestra tarjeta de crédito, así como nuestra dirección y número de teléfono.
Por último, nos indican que cambiarán el nombre de usuario cuando tengan esta información (¿el usuario? ¿qué sentido tiene esto?) y que respondamos amablemente al correo en cuestión.
¿Qué hacer en caso de recibir este correo de Steam, o cualquier otra zoquetada similar?
Recibir este mensaje no implica más de que alguien tiene nuestra dirección de correo electrónico y, probablemente, nuestro usuario de Steam, usuario que fácilmente podría haber sacado de cualquier partida online dentro de la plataforma.
Recibir este correo no implica nada para nuestra seguridad. Lo único que debemos es ignorarlo (aunque sea difícil no responder al mensaje para reírnos de él), borrarlo y añadir la dirección de correo a la lista de correo no deseado. Si queremos ir un poco más allá, también podemos aprovechar y dar parte a la Policía para que estén al tanto de esta campaña de phishing, aunque la verdad es que, al ser tan deficiente, no merece ni la pena.