Si bien Microsoft Edge se promociona como más seguro que Chrome y Firefox, la alerta de seguridad del navegador es susceptible al abuso de estafas de soporte técnico. Un investigador de seguridad descubrió una vulnerabilidad en Edge que podría permitir a los estafadores mostrar una alerta de seguridad falsa para cualquier dominio.

Manuel Caballero, que mantiene el blog Broken Browser, descubrió que los estafadores también podían personalizar el texto de las alertas falsas para atraer a los usuarios desprevenidos a llamar a los números de soporte técnico. Los operadores de centros de llamadas, de hecho, engañarían a las víctimas para que desembolsen grandes sumas de honorarios.

Caballero señaló que la campaña maliciosa no es nada nuevo. Sin embargo, reconoció que los estafadores están avanzando su truco para engañar a más usuarios. Él escribió en una publicación de blog:

“Presentan advertencias rojas o BSOD con mensajes falsos y, a veces, incluso lanzan alertas de bloqueo para evitar que los usuarios se vayan. Cuando un usuario cierra el cuadro de alerta, aparece uno nuevo, hasta el infinito ".

Existe un defecto en la función de seguridad SmartScreen de Edge

Caballero dijo que el error de seguridad existe en la función de seguridad SmartScreen de Edge, y agregó que la falla es exclusiva de Edge. SmartScreen funciona para detectar descargas ocultas y URL de phishing para que muestre una alerta de seguridad dentro de la ventana del navegador.

Los mensajes de advertencia residen en los protocolos de instalación de Edge ms-appx: y ms-appx-web. Edge utiliza estos protocolos para mostrar mensajes de advertencia cuando el navegador detecta sitios de suplantación de identidad (phishing) o malware.

El investigador de seguridad explicó que la falla no solo podía permitir a los piratas informáticos extraer los protocolos y personalizar los mensajes de advertencia, sino que también permite que los delincuentes cibernéticos falsifiquen la URL en la barra de direcciones de Edge. Los estafadores también podrían agregar un hash y falsificar una página de estafa de soporte técnico para que la suplantación parezca auténtica. Del mismo modo, los usuarios desprevenidos pensarían que un sitio web que visitan es legítimo, cuando de hecho está siendo falsificado.

La vulnerabilidad podría servir como una herramienta efectiva para los estafadores de soporte técnico para enmascarar su ataque con una URL legítima. Además, actualmente no hay una solución para la falla, según Caballero, quien afirmó que Microsoft ignoró sus informes en el pasado.

Lee también:

• Cómo eliminar ventanas emergentes de estafa de soporte técnico en Windows
• Micorsoft advierte a los usuarios de Hicurdismos, una estafa de "soporte técnico telefónico"
• Microsoft Edge es compatible con Windows Defender Guard para una mejor seguridad