“Mi móvil me ha estafado”
Cuando la madre de Ana miró la pantalla de su teléfono móvil, leyó un mensaje de texto breve, directo. En el SMS, procedente de su banco, podía leer: “A partir de este día, no podrá utilizar su tarjeta bancaria debido a cambios en la política de seguridad. Acceda al siguiente link para proceder con la activación”. Tras pulsarlo, fue redirigida a una web falsa que simulaba ser la propia página de la entidad financiera. Confiada, introdujo todas sus credenciales personales. Era un fraude. Y el ciberdelincuente, con esas claves robadas, tuvo tiempo de vaciar por completo la cuenta en la que la víctima ingresaba los ahorros con los que pensaba pagar la universidad de su hija. Para evitar que le pudieran rastrear, el estafador derivó el dinero a cuentas monedero de criptomonedas controladas por la organización criminal.
Esta historia real es uno de los cientos de casos que cada año atienden en el Instituto Nacional de Ciberseguridad (Incibe). Estafas cada vez más frecuentes que llegan a través de los teléfonos móviles en forma de SMS, a través de correos electrónicos o en aplicaciones de mensajería instantánea como WhatsApp. Solo en 2022, Incibe gestionó casi 120.000 incidentes relacionados con estos fraudes, un 9% más que el año anterior. El propio Centro Nacional de Inteligencia (CNI) reconoce que los dispositivos móviles y las aplicaciones son herramientas propicias para que se extiendan estos ataques, cada vez más complejos y sofisticados, que afectan a todos los sistemas operativos. Nadie está a salvo de caer en la trampa, porque los ciberataques pueden afectar desde instituciones oficiales a grandes corporaciones, pymes y, por supuesto, a cualquier internauta.
¿Cómo consiguen engañarnos?
Por norma general, los ciberdelincuentes quieren conseguir el mayor número de víctimas, con la menor inversión posible. Para ello, recurren a métodos de ingeniería social. Este concepto se basa en una realidad: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo estas agresiones, utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al agresor. “Se hacen pasar por alguien amable, digno de confianza o con autoridad y engañan a las personas para que confíen en ellos”, lamenta el portavoz de la asociación Pantallas Amigas, Rubén Domínguez. Y los teléfonos son el medio más efectivo para llegar hasta las víctimas.
“En los móviles consultamos el correo electrónico, navegamos por internet, consultamos las redes sociales, nos comunicamos diariamente… Los delincuentes lo saben y se adaptan a esta nueva realidad”, explica el inspector jefe de la Unidad Central de Ciberdelincuencia de la Policía Nacional, Diego Alejandro. Los agresores recurren a varios métodos para acceder a los smartphones. “Compran bases de datos que contienen información personal de usuarios, como los números de sus móviles, e-mails, direcciones postales… Además, cuando un servicio web sufre una brecha de seguridad, los datos de sus clientes quedan expuestos y los ciberdelincuentes pueden acceder a ellos”, advierte Domínguez. Para cometer los delitos, los estafadores han desplegado una larga lista de técnicas fraudulentas que envían a las potenciales víctimas a través de las terminales móviles.
Es imprescindible no precipitarnos y leer bien los mensajes que recibimos para evitar caer en la trampa. Algunas pistas sencillas pueden sernos muy útiles.
- Comprobar la ortografía y redacción. Muchos de los mensajes fraudulentos contienen errores ortográficos y de redacción debido al uso de traductores automatizados.
- Ver si se incluye un enlace. Los SMS fraudulentos siempre llevan un enlace a través del que van a realizar en ataque. Generalmente son HTTP que, como no van cifrados, son los más peligrosos. Esta es una señal de alerta, aunque no quiere decir que todos los enlaces sean una trampa.
- Fijarse si el ‘link’ está acortado. La mayoría de los enlaces de un mensaje fraudulento están acortados. Los ciberdelincuentes evitan así que se vea realmente la dirección a la que va dirigido.
- Verificar el remitente. Si es un número demasiado largo (más de 10 cifras), debemos sospechar. Por norma general, estos números se crean de manera internacional, por lo que incluyen muchas cifras.
Y ante la duda… ponerse en contacto con la entidad. Si creemos que estamos ante un mensaje fraudulento lo mejor es comunicarse con la empresa que envía el SMS para comprobarlo.
‘Phishing’: correos que engañan
Es una de las más conocidas. Para perpetrar el ataque, suplantan una entidad legítima a través de un correo electrónico –se hacen pasar por un banco, una empresa, un servicio técnico, un organismo público…– y lanzan un anzuelo para lograr su meta. La trampa tiene forma de mensaje de carácter urgente o atractivo. El objetivo es que, al leerlo, la víctima no tenga tiempo de aplicar el sentido común y pinche el enlace.
‘Smishing’: fraudes por SMS
Una variante de la estafa anterior y muy habitual en estos últimos tiempos es el smishing. En este caso, el delincuente ejecuta el fraude a través del envío de SMS. Para ello, se suele hacer pasar por alguna entidad financiera u organismo público y lanza mensajes en tono de alerta: “Hemos identificado movimientos sospechosos en su cuenta, acceda aquí para revisar si lo ha realizado”, “se ha realizado un cargo en su cuenta, compruébelo en este enlace”…
“La banca ha lanzado campañas para avisar a sus clientes de estas amenazas. Les recuerdan que el banco jamás va a pedir claves o datos personales a través de un SMS, que nunca envía enlaces ni solicita información con llamadas telefónicas”, apunta Ruth García, técnico en Ciberseguridad del Incibe.
‘Vishing’: llamadas que no son
En otras ocasiones, el delincuente suplanta la identidad de un proveedor de servicios –la compañía de la luz, el gas o de telecomunicaciones, por ejemplo–, de un organismo público –como la Seguridad Social o la Agencia Tributaria– o de una entidad financiera mediante una llamada telefónica, con el fin de sonsacar información privada y sensible de la víctima. El modus operandi suele seguir un mismo patrón. Por ejemplo, el ciberdelincuente se hace pasar por trabajador del servicio de Atención al Ciudadano para obtener datos personales o bancarios. “Incluso pueden manipular el CLI [call line identification], que es el número de teléfono que aparece en nuestra pantalla, a través de diversos softwares especializados. Así, nos hacen creer que realmente nos llaman de nuestro banco”, advierte Diego Alejandro.
La Oficina de Seguridad del Internauta explica los pasos que hay que seguir si hemos sido víctimas de fraudes o delitos por internet.
- Contraseñas y tarjetas. Lo más urgente es cambiar las contraseñas y, en caso de que haya un cargo indebido, bloquear las tarjetas y contactar cuanto antes con el banco para impedir o bloquear el pago.
- Informar. En ocasiones, es suficiente con reportar el problema al servicio o empresa implicada (siempre que la web sea legal). Una red social permite denunciar un perfil falso o una suplantación de identidad. Además, los servicios de correo electrónico cuentan con métodos de recuperación de cuenta en caso de que haya sido hackeada. También se pueden eliminar comentarios de un foro que atentan contra el honor y la intimidad de una persona si se contacta con el administrador del sitio.
- Acudir a la Oficina Municipal de Información al Consumidor. Una de sus funciones es tramitar, mediante procedimientos de conciliación, las reclamaciones de los consumidores por problemas en compras de productos o la contratación de servicios. También se ocupan de estos fraudes.
- Denunciar. Si el problema no se puede solucionar, debe interponerse la denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado: Policía Nacional, Guardia Civil, Ertzaintza, Mossos d’Esquadra o Policía Foral.
‘Shoulder surfing’: en la calle
Aunque parezca mentira, incluso pueden robarnos credenciales y contraseñas, contactos, códigos de desbloqueo –como el número PIN– y datos bancarios en situaciones tan cotidianas como un desplazamiento en transporte público, al utilizar un cajero automático o cuando mantenemos una conversación por teléfono en la calle. En eso consiste la técnica de shoulder surfing: mirar por encima del hombro de alguien que consulta su móvil para conseguir información.
‘Quid pro quo’: rifas y descuentos
En este caso, se promete un beneficio (por lo general, en forma de regalo, dinero o acceso gratuito a plataformas de descuentos) a cambio de información personal. “Son los típicos sorteos gratuitos que nos llegan al teléfono para ganar premios muy tentadores o para acceder a cupones con descuentos. La gente cree que participa en este tipo de rifas y rellena una encuesta. Esa información privada que ha facilitado se utiliza para luego cometer un fraude”, confirma Ruth García.
‘Pharming’ y ‘Baiting’: un paso más
Otras trampas son algo más sofisticadas. Ocurre con el pharming. Los agresores redireccionan al usuario a webs fraudulentas mediante un malware que contiene un código malicioso. O el baiting: mediante el uso de un cebo, los atacantes consiguen que la víctima infecte su equipo informático o que comparta sin saberlo información personal a través de un malware. El medio más utilizado son los dispositivos USB infectados que los delincuentes dejan abandonados en sitios estratégicos, como lugares públicos con mucha afluencia de personas, como aparcamientos, hospitales, centros comerciales, entre otros.
INCIBE cuenta con una serie de aplicaciones para aprender sobre ciberseguridad jugando.
La web Internet Segura for Kids y la Guardia Civil ofrecen una serie de advertencias para mantenernos a salvo de estos ciberataques:
- Emplear contraseñas seguras (combinación de letras, números y signos) y un segundo factor de autenticación para proteger nuestras cuentas.
- Evitar hacer clic en los enlaces que aparecen en los correos electrónicos o los mensajes privados y no descargar archivos adjuntos si no estamos completamente seguros del contenido. Siempre se ha de prestar atención a las direcciones y enlaces cortos.
- No facilitar nunca información personal, como nombre, apellidos, teléfono, dirección, correo electrónico o fotos.
- Escribir directamente la dirección en la barra de navegación o utilizar una aplicación oficial. Evitar seguir enlaces que lleguen a través de mensajes o correos.
- Comprobar la autenticidad de las apps, fijándose bien en el nombre, el desarrollador y las opiniones de otros usuarios, y valorar si los permisos que solicita son proporcionados.
- Actualizar con regularidad el sistema operativo.
- Utilizar un antivirus con licencia y actualizado.
- Desconfiar de mensajes cortos y extraños que nos puedan entrar por el móvil o las redes sociales.