Cada día utilizamos con más frecuencia las nuevas tecnologías, tanto en nuestra vida cotidiana como en el mundo laboral. Un ejemplo. En telefonía móvil hemos pasado del básico Motorola DynaTAC –el primer móvil del mercado, que celebra su 40 aniversario este año– a los modernos smartphones que podemos desbloquear con nuestra huella dactilar, firmar contratos online, realizar videoconferencias con los clientes, hacer transferencias bancarias… Y hasta aquí la buena noticia. La mala es que la ciberdelincuencia aprovecha la transformación digital en la que estamos inmersos para intentar estafar a personas y empresas. De hecho, una de cada cuatro incidencias gestionadas en 2022 por el Instituto Nacional de Ciberseguridad (INCIBE) está relacionada con fraudes online como los que describimos a continuación.
Phishing: no muerdas el anzuelo
De todas las estafas digitales, el phishing –y sus múltiples variantes– es la estrella. Esta modalidad de delito online consiste en el envío de correos electrónicos o enlaces por parte de un ciberdelincuente con el fin de ‘pescar’ datos personales, realizar un cargo económico o infectar el dispositivo. En este ataque, el ciberdelincuente clona correos electrónicos legítimos e incluye un enlace a webs falsas o archivos adjuntos con contenido malicioso (malware).
Las formas de phishing más comunes, según la monitorización del INCIBE, son las relacionadas con el fraude de la Agencia Tributaria (habitual durante las campañas del IRPF), el correo electrónico corporativo comprometido (BEC) –fraude contra empresas–, el fraude del CEO (suplantación de identidad), y el fraude de empresas de mensajería y de entidades bancarias (correos que redirigen a falsas webs casi idénticas a la original). Todos ellos pueden tener consecuencias graves como robos de dinero, pérdida de acceso a multimedia, cargos fraudulentos en tarjetas de crédito y hasta suplantación de identidad (también conocido como spoofing).
Cómo protegerse: Tomando ciertas precauciones, como desconfiar de cualquier enlace sospechoso, no acceder a las páginas a través de enlaces incluidos en correos o mensajes de remitente desconocido y dudar de sorteos o de herencias de familiares desconocidos.
Smishing: el hermano pequeño
El phishing tiene variantes como el smishing. En este caso, el mensaje fraudulento llega en forma de SMS (mensaje corto). Funciona así: la víctima recibe un SMS de alerta en su dispositivo móvil con un enlace que redirige a una entidad bancaria u organismos oficiales, pero que, en realidad, es una página web diseñada para robar las credenciales personales. Se han detectado mensajes de alerta fraudulentos que van desde cargos no autorizados, acceso a información confidencial o bloqueo de cuentas bancarias, entre otros.
Cómo protegerse: Estando alerta a la redacción de los mensajes o el sentimiento de urgencia que generan para que la víctima actúe de forma inmediata pinchando en el enlace. Al igual que con el phishing, se recomienda verificar la identidad del remitente, además de evitar guardar datos bancarios en el dispositivo y no instalar aplicaciones que no procedan de stores oficiales (Android y Apple.
El phishing y el smishing representan el 20,8% de las consultas sobre ciberseguridad realizadas por las empresas al INCIBE en 2022, seguido del fraude del CEO y del BEC que suman el 15,3%
SIM swapping: el recién llegado
En los últimos años se ha sumado a las anteriores otra estafa digital más sofisticada: SIM swapping, que consiste en duplicar de forma fraudulenta la tarjeta SIM del teléfono móvil. En este fraude, el estafador se pone en contacto con el operador de telefonía suplantando la identidad de la víctima y, tras proporcionar los datos requeridos, solicita un duplicado de la tarjeta. Una vez logrado su objetivo, puede acceder a la cuenta bancaria, hacer transacciones o solicitar créditos.
Cómo protegerse: La primera medida es proteger la tarjeta SIM con un PIN numérico, un aspecto que también puedes reforzar usando contraseñas seguras, activando la autentificación de dos factores, por ejemplo, en Google, y habilitando el desbloqueo con la huella dactilar.
Juice-jacking: un zumo amargo
Hay que tener cuidado con dónde cargamos nuestros dispositivos móviles. Mediante la técnica juice-jacking (“exprimidor de zumo”, en español), los ciberdelincuentes consiguen descargar un malware en el dispositivo de la víctima al conectar el móvil a un punto de carga USB. Entre las consecuencias están el robo de datos, la pérdida de funcionalidad del dispositivo o la ralentización, entre otros.
Cómo protegerse: No cargar el dispositivo móvil en lugares públicos es la solución definitiva. También es recomendable activar en ajustes del teléfono la opción de ‘solo carga’, además de llevar nuestra propia batería externa.
Tiendas online fraudulentas
Esta modalidad consiste en una tienda falsa online, operada por estafadores, que se hacen pasar por una página web de venta de productos indistinguible de cualquier otra. Una vez que has realizado la compra y abonado su importe, has caído en su ‘trampa’. En este fraude es muy difícil identificar a los ciberdelincuentes, ya que estas tiendas suelen desaparecer sin dejar rastro. Además de no recibir el paquete, los estafadores también consiguen los datos personales y bancarios de la víctima. Solo el año pasado se cerraron en España 654 tiendas fraudulentas, según el informe Balance de ciberseguridad 2022, elaborado por el INCIBE.
Cómo protegerse: Lo mejor es consultar la información legal de la empresa, prestar atención a la apariencia de las páginas web o pinchar en el candado de seguridad que figura en la dirección URL.
Trashing y Man in the Middle: dos clásicos actualizados
La búsqueda de papeles y documentación personal o empresarial en las papeleras y contenedores urbanos tiene su versión digital y su anglicismo: trashing. Esta práctica consiste en recolectar información de los documentos desechados por los trabajadores en la papelera de reciclaje de sus ordenadores, historial de navegación y cookies, e incluso de discos duros, CDs, DVDs o pinchos USB.
Cómo protegerse: La solución a este potencial riesgo es eliminar siempre, de forma segura, todos los documentos confidenciales e importantes que se desechan, de manera que no puedan reconstruirse para extraer información.
Finalizamos esta relación con el ataque conocido como Man in the Middle (“hombre en el medio”), un método que consiste en un tercero que intercepta, sin autorización, dos dispositivos conectados a la red. Y, al igual que el trashing, también permite extraer información valiosa al ciberdelincuente para, posteriormente, tener acceso a los datos bancarios o suplantar la identidad de las víctimas, ya sean personas o empresas.
Cómo protegerse: Para evitar este tipo de fraude, lo mejor es no conectarse a las redes Wi-Fi gratuitas, utilizar VPN (red privada virtual) corporativas e instalar un antivirus que detecte y neutralice cualquier intrusismo.
Contenidos relacionados
¿Sabrías qué hacer si suplantasen tu cuenta de Instagram?
La protección de datos, una cuestión de deberes y derechos
Día Internacional de la Seguridad de la Información: “El ciberataque que viene”
