El comercio online sigue ganando enteros, especialmente en estas fechas. Muchos consumidores tienen previsto recurrir al comercio electrónico para realizar una parte importante de ellas y es bastante probable que aumente la venta de tarjetas de regalo digitales.
Los ciberdelincuentes, que siempre están al acecho, están haciendo sus propias listas para aprovechar ese incremento de la actividad digital que implicará la Navidad.
En una época del año especialmente complicada porque compradores de todas las edades acuden en masa a los buscadores de Internet y a los canales online para hacer sus pedidos y que lleguen a tiempo, los ciberdelincuentes saben muy bien cómo crear señuelos atractivos que no solo resultan peligrosos para los menos experimentados, sino que algunas de estas estafas pueden llamar a engaño a los compradores más avezados.
Algunas de las ciberamenazas más comunes para las que hay que prepararse durante estas fiestas son:
Tarjetas regalo: son un vehículo habitual para ciberdelincuentes y estafadores, ya que una vez que se ha sustraído el dinero con el que están cargadas, prácticamente no hay forma de recuperarlo.
¿Qué tácticas utilizan?
- Mensajes de correo electrónico extraños en los que se pide al receptor que ayude a un amigo o familiar de forma urgente, introduciendo una tarjeta regalo como pago.
- Manipulando las tarjetas regalo que se venden en las tiendas: rascan la capa de protección para anotar los números PIN, y luego la «sustituyen» por una pegatina para que parezca nueva. Los estafadores introducen esos números PIN en un software que envía una alerta una vez que alguien ha comprado y activado su tarjeta regalo, y luego vacían todos sus fondos.
- Ataques de toma de posesión de cuentas (ATO): el ciberdelincuente utiliza primero tácticas de introducción de credenciales o de pulverización de contraseñas para obtener las credenciales de la cuenta de una plataforma de comercio electrónico concreta. Después, emplea esa información para realizar compras utilizando los datos de la cuenta, a menudo comprando tarjetas regalo electrónicas con un alto valor y en grandes cantidades, que luego utilizan rápidamente para evitar ser rastreados.
¿Cómo evitarlas?
- Establecer contraseñas seguras para cada cuenta online, asegurándose de no repetir la misma en dos plataformas. Utilizar una aplicación de gestión de contraseñas para hacer un seguimiento de las diferentes cuentas. Emplear identificadores de usuario aleatorios, si el sitio lo permite.
- Actualizar regularmente las credenciales de inicio de sesión y supervisar las cuentas en busca de signos de actividad inusual.
- Al adquirir tarjetas regalo en tiendas, inspeccionarlas visualmente para identificar signos de manipulación, antes de cargar los fondos.
- No pagar nunca compras online con tarjetas regalo cuando nos sea solicitado por correo electrónico; lo ideal es consumir solo en comercios que conozcamos y en los que confiemos. Las tarjetas de crédito son el mejor medio de pago, ya que la mayoría proporciona algún nivel de protección contra el fraude. Las aplicaciones de transacciones entre particulares, como Bizum, sólo deben utilizarse cuando las transacciones se realicen entre personas a las que conozcamos y en las que confiemos.
Estafas de phishing por videoconferencia
Las plataformas de videoconferencia se han convertido en otro instrumento de phishing desde que comenzó la pandemia. Y estas Navidades, muchas familias celebrarán las fiestas de forma virtual. Por eso, hay que estar atentos a ciertas estafas basadas en la interacción social.
¿Qué tácticas utilizan?
- Mensajes de correo electrónico que invitan al usuario a descargar una nueva versión de un software de videoconferencia e incluyen un enlace falso que dirige a un sitio donde el usuario puede descargar un programa de instalación. En algunos casos, el programa instala el software de videoconferencia, pero también carga un troyano. Este programa da a los estafadores acceso a información y datos sensibles del usuario, que se venden en el mercado negro o se aprovechan para el robo de identidades.
- Mensajes de correo electrónico a empleados que están teletrabajando y esperan recibir invitaciones con enlaces a videollamadas para mantener reuniones laborales. En estos casos, los estafadores envían enlaces que llevan al usuario a una página de inicio de sesión falsa -que se parece mucho a la real- para robar las credenciales. Si tienen éxito, estos atacantes intentarán utilizarlas para acceder a cuentas y redes corporativas.
¿Cómo evitarlas?
- Fijarse en la dirección del remitente antes de hacer clic en los enlaces enviados por correo electrónico o de descargar los archivos adjuntos, aunque parezcan proceder de una fuente de confianza. En la mayoría de los casos, los correos electrónicos de phishing se envían desde direcciones que no contienen la dirección web legítima de la organización del supuesto remitente.
Cada vez más amenazas en los teléfonos móviles
La versión telefónica del phishing se denomina «vishing», y las estafas por mensajes de texto se llaman «smishing», un juego de palabras con el término SMS. Aunque los smartphones puedan parecer menos vulnerables a las amenazas, en realidad no es así.
¿Qué tácticas utilizan?
- Mensajes de texto fraudulentos que parecen proceder de comercios con los que los usuarios están familiarizados y que suelen contener un enlace que, cuando se hace clic, redirige a un sitio web fraudulento que simula el sitio legítimo del comercio, pero que está diseñado para extraer la información personal identificable (PII).
- Apps maliciosas, sobre todo para dispositivos Android, que se utilizan para sustraer datos financieros y credenciales.
- Llamadas telefónicas para solicitar información de identificación personal: transmiten un mensaje urgente sobre un pedido realizado recientemente para engañar al usuario y que proporcione información como las credenciales de acceso o datos de bancarios.
- Un mensaje de voz en el que aprovechan precisamente el miedo a las estafas y las ciberamenazas. El mensaje dice algo así: «URGENTE: Su cuenta bancaria ha sido bloqueada debido a una actividad sospechosa. Llámenos inmediatamente para restablecer el acceso». Y cuando la víctima devuelve la llamada, se le pide que proporcione información confidencial que luego es utilizada de forma maliciosa.
¿Cómo evitarlas?
- Hay que confirmar que el número de teléfono desde el que se ha recibido una llamada o un mensaje de texto pertenece a la organización que dice haberlo enviado, antes de proporcionar cualquier información.
- Es importante recordar que los bancos y los organismos oficiales casi nunca se ponen en contacto con los clientes o los ciudadanos de esta manera, sobre todo para solicitar información. Es mejor ponerse en contacto con la entidad bancaria para preguntar por el mensaje recibido.
Cuidado con los códigos QR
Un nuevo método que estamos empezando a ver es el de los estafadores que añaden un código QR a productos populares y que incluso crean banners o desarrollan materiales de marketing y los dejan en las tiendas físicas. La víctima ve un producto que le gusta y un cartel al lado que le dice que puede conseguir el producto más rápido o con un descuento y todo lo que tiene que hacer es escanear el código QR, que le lleva a un sitio web preparado para alguna estafa o le anima a descargar un malware.
Reflexiones finales sobre la seguridad digital
Disfrutar de las Navidades sin problemas ni sobresaltos solo va a requerir estar un poco más atentos, utilizar el sentido común, desconfiar de correos electrónicos, mensajes de texto o llamadas telefónicas que procedan de números o fuentes desconocidas y actualizar regularmente las credenciales de acceso. ¡Ah! Y ayudar a divulgar estos consejos y a concienciar y formar porque la información es la mejor arma para luchar contra la ciberdelincuencia.