Por séptimo año consecutivo, Europol ha publicado el informe IOCTA (Internet Organised Crime Threat Assessment). El objetivo de este estudio es proporcionar una descripción general de las amenazas y tendencias actuales de los delitos cometidos “on-line”. El IOCTA de este año muestra cómo los cibercriminales adaptaron y evolucionaron sus métodos para aprovecharse de la situación de incertidumbre y vulnerabilidad generada por la crisis de la Covid-19.
Pero, entonces, ¿qué podemos hacer para protegernos? Simple, aunque no fácil: aprender a identificar los fraudes cibernéticos y, lo más importante, seguir una serie de buenas prácticas que evitarán que caigamos en estas trampas.
A lo largo de este artículo, voy a hablar de los principales fraudes de este tipo, explicando de forma breve en qué consisten y dando una serie de consejos sobre cómo podemos protegernos.
El fraude del CEO
¿En qué consiste?
En este tipo de fraude, el atacante, haciéndose pasar por un alto cargo de la Compañía (por ejemplo, el Director General), envía un correo electrónico falso a un empleado autorizado para realizar pagos, pidiéndole que pague una factura falsa, que realice una transferencia bancaria o envíe información fiscal confidencial. Además, a estos correos se les suele imprimir un aire de urgencia como medida de presión hacia el colaborador.
Este fraude es particularmente peligroso porque el atacante se basa en la autoridad del Director General para engañar al empleado: muchos de ellos no se plantearán cuestionar una orden del Director General y realizarán inmediatamente lo que se les ha pedido.
¿Cómo puedo protegerme?
Revisa con mucho cuidado la dirección de correo del remitente: los ciberdelincuentes suelen usar direcciones imitando a la original pero que difieren algo de la misma. Por ejemplo, @tudomnio.com en vez de @tudominio.com
No dejes que te venza la presión y aplica estrictamente los procedimientos de seguridad.
Si tienes dudas sobre una orden de transferencia, consulta a algún compañero o incluso contacta a la persona que supuestamente te ha enviado el correo.
El fraude de las facturas
¿En qué consiste?
Una empresa es contactada por una persona que dice pertenecer a una compañía proveedora de servicios. El atacante solicita que se modifiquen los datos bancarios de un pago (es decir, los datos del beneficiario de la cuenta bancaria) de facturas futuras. La nueva cuenta sugerida está controlada por el atacante.
¿Cómo puedo protegerme?
Verifica la solicitud, contactando directamente al proveedor. Para ello, usa los datos de contacto que ya tenías y no los nuevos que te han hecho llegar.
Si la petición te ha llegado mediante correo electrónico, revisa con atención la dirección de correo del remitente.
Cuando pagues una factura, envía un correo electrónico para informar al destinatario. Incluye el nombre del banco beneficiario y los últimos cuatro dígitos de la cuenta para garantizar la seguridad.
Fraudes bancarios: phishing, smishing, vishing y sitios web fraudulentos
¿En qué consisten?
El phishing se refiere a correos electrónicos fraudulentos que engañan a los destinatarios para que compartan su información personal, financiera o de seguridad.
Pueden parecer idénticos a los que te puede enviar tu banco, replicando los logotipos, el diseño y el tono de los correos electrónicos reales. Los ciberdelincuentes confían en el hecho de que la gente está ocupada; de un vistazo, estos correos electrónicos falsos parecen ser legítimos por lo que es muy probable que los destinatarios se crean lo que está escrito en ellos y hagan lo que se les pide (hacer clic en un enlace o descargar un fichero adjunto).
El vishing (combinación de las palabras voice -voz en inglés-) y phishing, es una estafa telefónica en la que los delincuentes intentan engañar a la víctima para que divulgue información personal, financiera o de seguridad o para que les transfiera dinero.
El smishing (unión de SMS y phishing) es el intento de los delincuentes de adquirir información personal, financiera o de seguridad por mensaje de texto o por WhatsApp.
El caso del smishing es similar al del phishing: te llega un mensaje en el que te piden que, de forma urgente, hagas clic en un enlace o llames a un número de teléfono porque ha habido un problema con tu cuenta y tienes que reactivarla.
En los casos de phishing y smishing, los enlaces incluidos nos llevan a páginas web falsas, las cuales son muy parecidas a las oficiales de los bancos. El objetivo es obtener nuestros datos personales y bancarios, los cuales les servirán para suplantar nuestra identidad, acceder a nuestras cuentas e, incluso, cometer otros delitos en nuestro nombre.
¿Cómo puedo protegerme?
Para los tres casos, lo principal es verificar la identidad de la persona que te contacta:
- Al recibir un correo electrónico, mira con lupa la dirección del remitente. Ten en cuenta que un número “0” puede verse como una letra“O”. Verifica si coincide con la dirección usada normalmente por tu banco para comunicarse contigo. Y ya puestos a revisar, ponte en modo profesor de Lengua y busca errores ortográficos y gramaticales.
- En el caso de llamadas telefónica, SMS o comunicaciones vía WhatsApp, registra el número de la persona que te llama e indícale que le devolverás la llamada. Si puedes, ponte en contacto con el banco (busca su número en su página web si no lo tienes) y verifica con ellos los datos del contacto y el número de teléfono.
Si te mandan un enlace, no hagas clic; si adjuntan un fichero, no lo descargues. Y, por supuesto, si te piden que hagas una transferencia, no la hagas. Tómate tu tiempo para verificar todo, que las prisas no son buenas.
En caso de duda, ponte en contacto con tu banco para verificar si te han hecho llegar esa comunicación.
La estafa romántica
¿En qué consiste?
La estafa romántica suele tener lugar en sitios web de citas online, pero también puede ocurrir a través de redes sociales o mediante el correo electrónico.
Una persona se pone en contacto contigo, alabando tus fotos, tu estilo, tus vídeos o cualquier cosa con tal de, mediante halagos, atraer tu atención, ganarse tu confianza y llegar a hacerte creer que está interesado en tener una relación afectiva contigo.
Una vez conseguido el engaño, pasará a una fase de chantaje emocional, en el que inventará situaciones en las que necesita ayuda económica. En caso de que no se le haga llegar el dinero, pasará del chantaje emocional al chantaje sexual, amenazando con compartir las imágenes que le hayas hecho llegar.
¿Cómo puedo protegerme?
Ten mucho cuidado con la cantidad de información personal que compartes en las redes sociales y los sitios de citas.
Bajo ningún concepto compartas imágenes personales, videos o cualquier material comprometedor. Obviamente, tampoco envíes dinero si te lo pide.
Investiga el nombre y la foto de la persona mediante búsquedas en internet.
Ve despacio y haz muchas preguntas. Presta mucha atención a todo lo que te diga para poder identificar posibles incoherencias y a posibles excusas para no usar la webcam, no hablar por teléfono o no citarse en persona.
Si acepta citarse en persona, avisa a tus familiares y amigos de dónde vas a estar.