En un momento en el que el uso de la tecnología se ha multiplicado como consecuencia de la situación derivada de la pandemia del coronavirus, los casos de ciberataques se han disparado entre los usuarios y las empresas. Y es que con las medidas de aislamiento social y de limitación de movimiento, que han impulsado nuevas formas de relacionarnos y de trabajar, millones de personas están haciendo un mayor uso del correo electrónico y de las redes sociales y apuestan por el canal online para realizar sus compras. De hecho, las restricciones impuestas han impulsado la digitalización de los comercios aumentando así la exposición y los riesgos de ciberataques.
«La ingeniería social se basa en un principio muy básico: ‘el usuario es el eslabón más débil’. A partir de esta idea, busca explotarlo apelando a sus motivaciones más personales, con el objetivo de conseguir que el usuario revele cierta información o le permita tomar el control de su equipo. La mejor defensa es no dejarse engañar y conocer cómo funciona este tipo de fraudes y engaños», señalan desde la Oficina de Seguridad del Internauta (OSI).
De hecho, han aumentado el número de campañas fraudulentas que utiliza el tema de la COVID-19 como señuelo, por ejemplo, suplantando al Ministerio de Salud chino o a la Organización Mundial de la Salud (OMS). La Organización de las Naciones Unidas (ONU) ya advirtió en el mes de mayo de que los ciberdelitos, entre ellos los que se producen a través de correos maliciosos, habían aumentado un 600% con la pandemia. Además, la velocidad a la que muchas empresas han tenido que implantar el teletrabajo como modelo ha hecho que muchos empleados accedan a información empresarial desde sus equipos personales, que suelen estar menos protegidos que los corporativos.
Los ataques más habituales
El phishing es uno de los ataques más habituales. Se trata del envío de emails fraudulentos con apariencia de fuentes de confianza (como bancos o compañías de energía) y que tienen por objetivo robar información confidencial. Normalmente en estos correos se solicitan datos como los números de la tarjeta de crédito, el DNI o la contraseña de acceso a la entidad.
Solo en el segundo trimestre del año, según los datos de ESET, hubo un aumento exponencial de los correos electrónicos de phishing, dirigidos a compradores online, que se hacían (y se hacen) pasar por uno de los principales servicios de paquetería del mundo. En este sentido, el volumen fue 10 veces mayor que en el primer trimestre del año. Precisamente, el webinar Prevención del fraude contra las empresas en el negocio online y las transferencias internacionales, organizado por HUB Empresa de Banco Sabadell, abordará este tema sobre cómo minimizar el riesgo.
Además, según iMorosity, del 72,78% de los nuevos casos en las listas de morosos, el 40% corresponde a estafas relacionadas con el coronavirus, de las que el 20% han sido mediante phishing. Como indican desde la OSI, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.
Una de las variantes de este método es la conocida como smishing, palabra compuesta por SMS (servicios de mensajes cortos) y phishing. El funcionamiento y el objetivo son los mismos que en el envío de correos electrónicos, solo que se realiza a través de mensajes de texto, muy usados en los smartphones.
Desde Kaspersky señalan que «cuando la gente utiliza el teléfono muestra menos recelo a proteger su privacidad. Muchos asumen que sus smartphones son más seguros que los ordenadores, pero la protección de los smartphones tiene limitaciones y no puede blindar directamente frente a este fraude».
Otro método de engaño es el vishing. Este término proviene de la unión de voice y phishing. Para llevar a cabo esta práctica, los ciberdelincuentes realizan una llamada telefónica con el objetivo de conseguir los datos personales o bancarios de una persona suplantando la identidad de un tercero.
Desde el Banco de España explican que entre las prácticas más habituales está la del fraude del técnico informático: «Bajo el pretexto de limpiar el ordenador de virus, exigen el pago de una pequeña cantidad a través de una plataforma que registra los datos bancarios y seguidamente solicitan hacerse con el control del dispositivo infectado para acceder a la banca electrónica y realizar operaciones en nombre de la persona afectada».
Otro ejemplo es el del empleado de una entidad bancaria: avisan de que se está realizando una operación fraudulenta (y ficticia) con la tarjeta y solicitan los datos de la misma. Mientras se produce la llamada, realizan compras en línea reales y piden las claves recibidas por SMS haciendo creer que son códigos para cancelar la operación falsa.
Otro caso es el de hacerse pasar por el comercial de una compañía telefónica, informando a la víctima de que le han cobrado de más por error en la factura y solicitándole los datos bancarios para abonar la diferencia.
Cómo evitar el fraude
Para no caer presa de este tipo de ataques los expertos recomiendan sentido común. Como recuerda el Banco de España, «las compañías legítimas ya disponen de la información personal; no necesitan pedirla de nuevo«. Por lo tanto, hay que desconfiar de cualquier correo electrónico, mensaje de texto o llamada personal que solicite este tipo de datos. Asimismo, hay que considerar «las alertas de seguridad urgentes y los canjes de cupones, ofertas u oportunidades que requieren que actúes rápido como signos de advertencia de un intento de pirateo», apuntan desde Kaspersky.
Por su parte, la OSI señala que «cada vez es más complicado reconocer los ataques de ingeniería social, por ello el primer método de prevención es estar informado». Según los datos del Eurobarómetro solo el 46% de los ciudadanos europeos se considera bien informado, mientras que en el caso de los españoles este porcentaje disminuye y se sitúa en el 35%. En lo que a medidas de seguridad implantadas se refiere, solo el 45% de la ciudadanía europea opta por instalar un antivirus o mejorar el que ya tenía. También es preocupante que solo el 35% de los usuarios abren únicamente aquellos correos electrónicos procedentes de personas o direcciones que conocen.
En el caso concreto del phishing, desde Panda Security realizan una serie de recomendaciones como la de saber identificar los correos sospechosos. «Existen algunos aspectos que, inequívocamente, identifican este tipo de ataques: utilizan nombres y adoptan la imagen de empresas reales; llevan como remitente el nombre de la empresa o el de un empleado real de ésta; incluyen webs que visualmente son iguales a las de empresas reales; y, como gancho, utilizan regalos o la pérdida de la propia cuenta existente». Sin embargo, pueden contener erratas y, al comprobar la dirección de envío, suelen ser distintas a las originales y tener dominios sospechosos.
Otros consejos a seguir son verificar la fuente de información de los correos entrantes; no acceder nunca a la web pulsando directamente en links incluidos en los emails; introducir los datos confidenciales únicamente en páginas webs seguras; revisar periódicamente las cuentas bancarias; y, ante la mínima duda, ser prudente y no correr riesgos.
Para el smishing, las precauciones son similares a las anteriores: no hacer clic en enlaces que se reciben en el teléfono, a menos que se conozca a la persona que los envía; no instalar aplicaciones provenientes de mensajes de texto; y no revelar nunca información personal ni financiera. Éste último es un consejo coincidente para un ataque de vishing.
