“O meu móbil estafoume”

Chamadas fraudulentas, SMS falsas, correos electrónicos enganosos... Os smartphones convertéronse na porta de entrada para moitos ciberdelincuentes, que buscan obter os nosos datos persoais e encheren así os seus petos. Contámosche como recoñecer estas estafas para non caer na trampa.
1 Xuño de 2023

“O meu móbil estafoume”

Cando a nai de Ana mirou a pantalla do seu teléfono móbil, leu unha mensaxe de texto breve e directa. Na SMS, procedente do seu banco, podía ler: “A partir deste día non poderá utilizar a súa tarxeta bancaria por cambios na política de seguridade. Acceda ao seguinte enlace para continuar coa activación”. Despois de facer clic nel, foi redirixida a un sitio web falso que simulaba ser a propia páxina da entidade financeira. Confiada, introduciu todas as súas credenciais persoais. Era unha fraude. E o ciberdelincuente, con esas chaves roubadas, tivo tempo de baleirar por completo a conta na que a vítima depositaba os aforros cos que pensaba pagar a universidade da filla. Para evitar ser localizado, o estafador desviou o diñeiro a contas moedeiro de criptomoedas controladas pola organización criminal.

Esta historia real é un dos centos de casos que cada ano atenden no Instituto Nacional de Ciberseguridade (Incibe). Estafas cada vez máis frecuentes que chegan a través dos teléfonos móbiles en forma de SMS, a través do correo electrónico ou en aplicacións de mensaxería instantánea como WhatsApp. Só en 2022, Incibe xestionou case 120.000 incidencias relacionadas con estas fraudes, un 9 % máis que o ano anterior. O propio Centro Nacional de Intelixencia (CNI) recoñece que os dispositivos móbiles e as aplicacións son ferramentas propicias para a propagación destes ataques, cada vez máis complexos e sofisticados, que afectan a todos os sistemas operativos. Ninguén está a salvo de caer na trampa, porque os ciberataques poden afectar desde institucións oficiais a grandes corporacións, pemes e, por suposto, a calquera internauta.

Como conseguen enganarnos?

Por norma xeral, os ciberdelincuentes queren obter o maior número de vítimas, co menor investimento posible. Para iso, recorren aos métodos de enxeñaría social. Este concepto baséase nunha realidade: é máis fácil manexar as persoas que as máquinas. Para levar a cabo estas agresións, utilizan técnicas de manipulación psicolóxica co fin de conseguir que os usuarios revelen información confidencial ou realicen calquera tipo de acción que poida beneficiar o agresor.  “Fanse pasar por alguén amable, digno de confianza ou con autoridade e enganan as persoas para que confíen neles”, lamenta o voceiro da asociación Pantallas Amigas, Rubén Domínguez. E os teléfonos son o medio máis efectivo para chegar ata as vítimas.

“Nos móbiles consultamos o correo electrónico, navegamos por Internet, consultamos as redes sociais, comunicámonos a diario… Os delincuentes sábeno e adáptanse a esta nova realidade”, explica Diego Alejandro, inspector xefe da Unidade Central de Ciberdelincuencia da Policía Nacional. Os atacantes recorren a varios métodos para acceder aos smartphones. Compran bases de datos que conteñen información persoal dos usuarios, como os seus números de móbil, e-mails, enderezos postais… Ademais, cando un servizo web sofre unha violación de seguridade, os datos dos seus clientes están expostos e os ciberdelincuentes poden acceder a eles”, advirte Domínguez. Para cometer os delitos, os estafadores despregaron unha longa lista de técnicas fraudulentas que envían ás posibles vítimas a través das terminais móbiles.

Trucos para recoñecer unha mensaxe fraudulenta

É imprescindible non precipitármonos e ler atentamente as mensaxes que recibimos para evitar caer nas trampas. Algunhas pistas simples poden ser moi útiles.

  1. Comprobar a ortografía e a redacción. Moitas das mensaxes fraudulentas conteñen erros de ortografía e de redacción debido ao uso de tradutores automáticos.
  2. Ver se se inclúe unha ligazón. As SMS fraudulentas sempre levan unha ligazón a través da cal van realizar o ataque. Xeralmente son HTTP que, ao non estaren cifradas, son as máis perigosas. Este é un sinal de alerta, aínda que non quere dicir que todas as ligazóns sexan unha trampa.
  3. Fixarse se o enlace está acurtado. A maioría das ligazóns dunha mensaxe fraudulenta están acurtadas. Os ciberdelincuentes evitan así que se vexa realmente o enderezo ao que vai dirixido.
  4. Verificar o remitente. Se é un número demasiado longo (máis de 10 díxitos), deberiamos desconfiar. Como norma xeral, estes números xéranse a nivel internacional, polo que inclúen moitas cifras.

E ante a dúbida… poñerse en contacto coa entidade. Se cremos que estamos ante unha mensaxe fraudulenta, o mellor é contactar coa empresa que envía o SMS para verificalo.

‘Phishing’: correos que enganan

É unha das máis coñecidas. Para levar a cabo o ataque, suplantan unha entidade lexítima a través dun correo electrónico -fanse pasar por un banco, unha empresa, un servizo técnico, un organismo público…– e lanzan un anzol para atinxir a súa meta. A trampa ten forma de mensaxe de carácter urxente ou atractiva. O obxectivo é que, ao lelo, a vítima non teña tempo de aplicar o sentido común e facer clic na ligazón.

‘Smishing’: fraudes por SMS

Unha variante da estafa anterior e moi común nos últimos tempos é o smishing. Neste caso, o delincuente executa a fraude a través do envío de SMS. Para iso, adoitan presentarse como unha entidade financeira ou entidade pública e lanzar mensaxes nun ton de alerta: “identificamos movementos sospeitosos na súa conta, accede aquí para comprobar se o realizaches”, “fíxose un cargo na súa conta, compróbeo nesta ligazón”… “A banca lanzou campañas para avisar os seus clientes destas ameazas. Lémbranlles que o banco nunca pedirá claves ou datos persoais a través dun SMS, que nunca envía ligazóns nin solicita información con chamadas telefónicas”, apunta Ruth García, técnico de ciberseguridade do Incibe.

‘Vishing’: chamadas que non son

Noutras ocasións, o delincuente suplanta a identidade dun provedor de servizos -a compañía da luz, o gas ou telecomunicacións, por exemplo-, dun organismo público -como a Seguridade Social ou a Axencia Tributaria- ou dunha entidade financeira a través dunha chamada telefónica, co fin de extraer información privada e sensible da vítima. O modus operandi adoita seguir un mesmo patrón. Por exemplo, o ciberdelincuente faise pasar por traballador do servizo de Atención ao Cidadán para extraer datos persoais ou bancarios. “Poden incluso manipular o CLI [call line identification], que é o número de teléfono que aparece na nosa pantalla, a través de varios softwares especializados. Así, fannos crer que realmente nos chaman dende o noso banco”, advirte Diego Alejandro.

Que facer se nos estafaron

A oficina de seguridade do internauta explica os pasos que se deben seguir se somos vítimas de fraude ou delitos por internet.

  1. Contrasinais e tarxetas. O máis urxente é cambiar os contrasinais e, no caso de haber un cargo indebido, bloquear as tarxetas e poñerse en contacto canto antes co banco para impedir ou bloquear o pagamento.
  2. Informar. Ás veces, abonda con informar do problema ao servizo ou á empresa implicada (sempre que o sitio web sexa legal). Unha rede social permite denunciar un perfil falso ou unha suplantación de identidade. Ademais, os servizos de correo electrónico contan con métodos de recuperación da conta no caso de que fose hackeada. Tamén se poden eliminar comentarios dun foro que violen a honra e a privacidade dunha persoa contactando co administrador do sitio.
  3. Acudir á Oficina Municipal de Información ao Consumidor. Unha das súas funcións é a de tramitar, mediante procedementos de conciliación, as reclamacións dos consumidores por problemas na compra de produtos ou na contratación de servizos. Tamén se ocupan destas fraudes.
  4. Denunciar. Se o problema non se pode solucionar, debe interporse a denuncia ante as Forzas e Corpos de Seguridade do Estado: Policía Nacional, Garda Civil, Ertzaintza, Mossos d’Esquadra ou
    Policía Foral. 

‘Shoulder surfing’: na rúa

Por estraño que pareza, mesmo nos poden roubar credenciais e contrasinais, contactos, códigos de desbloqueo -como o número PIN- e datos bancarios en situacións cotiás como viaxar en transporte público, ao utilizar un caixeiro automático ou cando mantemos unha conversación por teléfono na rúa.  Niso consiste a técnica de shoulder surfing:  mirar por riba do ombreiro a alguén que consulta o seu teléfono móbil para conseguir información.

‘Quid pro quo’: rifas e descontos

Neste caso, prométese un beneficio (normalmente en forma de agasallo, diñeiro ou acceso gratuíto a plataformas de descontos) a cambio de información persoal. “Son os típicos sorteos gratuítos que nos chegan por teléfono para gañar premios moi tentadores ou para acceder a cupóns de desconto. A xente cre que participa neste tipo de rifas e enche unha enquisa. Esa información privada que facilitaches úsase para posteriormente cometer fraude”, confirma Ruth García.

‘Pharming’ e ‘Baiting’: un paso máis

Outras trampas son algo máis sofisticadas. Ocorre co pharming. Os atacantes redirixen o usuario a sitios web fraudulentos a través dun malware que contén un código malicioso. Ou o baiting: mediante o uso dun cebo, os atacantes conseguen que a vítima infecte o seu equipo informático ou que comparta sen sabelo información persoal a través dun malware. O medio máis utilizado son os dispositivos USB infectados que os delincuentes deixan abandonados en sitios estratéxicos, como lugares públicos con grande afluencia de persoas, como aparcamentos, hospitais, centros comerciais, entre outros.

Consellos para non caer na trampa

A web Internet Segura for Kids e a Garda Civil ofrecen unha serie de advertencias para protexernos destes ciberataques:

  • Empregar contrasinais seguros (combinación de letras, números e signos) e un segundo factor de autenticación para protexer as contas.
  • Evitar premer nas ligazóns que aparecen en correos electrónicos ou mensaxes privadas e non descargar anexos se non están completamente seguros do contido. Presta sempre atención aos enderezos e ligazóns curtas.
  • Non facilitar nunca información persoal como nome, apelidos, teléfono, enderezo, correo electrónico ou fotos.
  • Escribir directamente o enderezo na barra de navegación ou utilizar unha aplicación oficial. Evitar seguir as ligazóns que chegan a través de mensaxes ou correos electrónicos.
  • Comprobar a autenticidade das apps, prestando moita atención ao nome, ao desenvolvedor e ás opinións doutros usuarios, e valorando se os permisos que solicita son proporcionados.
  • Actualizar regularmente o sistema operativo.
  • Utilizar un antivirus con licenza e actualizado.
  • Desconfiar das mensaxes curtas e estrañas que nos poden entrar por móbil ou as redes sociais.