Los cibercriminales no atacan por amor al arte; sino buscando algún tipo de beneficio económico. Independientemente de que secuestren a una empresa con un virus de tipo « ransomware», o de que intenten engañar a los usuarios para que revelen sus credenciales de la banca online. Algo bastante habitual en las amenazas de tipo « phishing», en las que los delincuentes suplantan a un tercero, como podría ser una empresa conocida o una entidad bancaria, y emplean ingeniería social para que el internauta entregue, sin darse cuenta, sus datos personales: contraseñas, número de tarjeta bancaria o claves de acceso, entre otras cosas.
Sur Florida/ABC
Este tipo de estafas son bastante habituales y suelen realizarse a través de correo electrónico, páginas web maliciosas o mensajes de tipo SMS o WhatsApp. Hace apenas unas semanas la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), detectó una campaña en la que los atacantes suplantaban a Banco Santander o Bankia para aumentar las posibilidades de que los usuarios piquen el anzuelo. Y este es solo un ejemplo de tantos.
Desconfía
Como se ha dicho, los cibercriminales emplean varios medios para conseguir que los usuarios revelen sus datos bancarios sin ser conscientes. También tienden a suplantar a empresas conocidas, como Amazon, y a entidades bancarias para mejorar sus posibilidades.
En conversación con ABC, José de la Cruz, director técnico de la firma de ciberseguridad Trend Micro en España, afirmaba hace unos meses que el primer paso para protegeres del «phishing» es desconfiar por sistema de las comunicaciones en las que se solicita cualquier tipo de información bancaria: «Es muy importante utilizar el sentido común. En el caso de las estafas que tratan de robar la cuenta del banco del usuario, hay que saber que los bancos no entran en contacto con el cliente por medio de correos electrónicos o vía SMS para pedirle sus credenciales. Es algo muy raro. Yo diría que no ocurre con ninguna entidad».
Fíjate en los detalles
Según se recoge en el reciente informe Brand Phishing de la firma de ciberseguridad Check Point, el medio más empleado por los cibercriminales para lanzar ataques de tipo «phishing» es el correo electrónico con un 44% de los casos. Muy cerca, con un 43%, se encuentran las ciberestafas a través de páginas web maliciosas.
Estas dos técnicas, como explicaba recientemente a este diario el director técnico de Check Point para España y Portugal, Eusebio Nieva, muchas veces se complementan: «Para robar contraseñas, lo más habitual es que los ciberdelincuentes falsifiquen la página web de una empresa conocida, para que la víctima ingrese sus credenciales sin darse cuenta. Para infectar con virus un dipositivo, se suele emplear el correo electrónico; donde puedes insertar ficheros dañinos».
Las ciberestafas bancarias más sofisticadas suelen comenzar con un correo electrónico en el que los atacantes suplantan a una empresa conocida con la que es bastante probable que el usuario tenga contratado algún tipo de servicio. Dicho email suele ir acompañado por un mensaje llamativo y un hipervínculo, que puede iniciar la descarga de un archivo malicioso en el que se aloja un virus capaz de robar información, o bien, redirigir a la víctima a una página web diseñada para hacerse pasar por la oficial de la compañía que supuestamente ha realizado la comunicación.
Ingeniería social y errores ortográficos
Las ciberestafas por correo electrónico suelen compartir una serie de características que pueden ayudar al usuario a reconocerlas. Una de las más habituales es el empleo de ingeniería social en el asunto y en el texto que acompaña al mensaje. De este modo, las campañas de «phishing» suelen «advertir» a la víctima de supuestos bloqueos de cuentas, errores al realizar algún tipo de pago o fallos de seguridad que pueden haber comprometido algún servicio. Es decir, cosas que llaman la atención y causan en el internauta cierta sensación de urgencia.
Para descubrir si se trata de una comunicación verídica, también es importante fijarse en el dominio desde el que se envía el correo y ver si corresponde con el oficial de quien, supuestamente, ha contactado. Otra cosa que suelen tener en común las ciberestafas son los errores ortográficos y de redacción. Asimismo, existen casos en los que la comunicación se realiza en un idioma que es distinto al del usuario, algo que, en función de quien sea el tercero, podría no tener ningún sentido.
