‘Typosquatting’ ‘vishing’ y ‘smishing’ son solo algunas de las técnicas que los ciberdelincuentes emplean en fechas como Black Friday y Cyber Monday, en las que se multiplican las compras ‘online’, plagadas en muchas ocasiones de ofertas que no son lo que aparentan y resultan en el robo masivo de datos y dinero de los usuarios.
En los últimos años, el día después de Acción de Gracias -el último jueves de noviembre- y el lunes siguiente se han consagrado como dos fechas importantes en el calendario para comprar los regalos de Navidad, ya sean productos de consumo o servicios.
Black Friday: consejos ante ciberestafas
El crecimiento de las consultas es más que favorable para los ciberdelincuentes, que diseñan diferentes campañas de ingeniería social -ataques diseñados para engañar a los usuarios para acceder a información útil- para aprovechar el movimiento de compras y datos, por lo que conviene tener en cuenta cuáles son los más frecuentes en estos días.
En primer lugar, conviene apuntar que en estos días de compras se dan con frecuencia los fraudes con cupones falsos, descuentos y las conocidas promociones ‘flash’, que buscan atraer a los usuarios más desprevenidos que creen que no deben dejar escapar una oferta demasiado atractiva.
Estos también suelen ser víctimas del denominado ‘malvertising’ o distribución de anuncios ‘online’ que emplean los ciberatacantes para distribuir programas maliciosos o redirigir el tráfico del usuario.
También se da una amplia difusión de aplicaciones maliciosas, diseñadas con la intención de robar datos haciéndose pasar por otras legítimas, dañar dispositivos o comprometer la seguridad de los usuarios, que acaban convertidos en víctimas tras su instalación.
A pesar de que Black Friday y Cyber Monday son fechas señaladas para los ciberdelincuentes, éstos también aprovechan la ocasión para ejecutar campañas con técnicas tan sencillas y efectivas como el ‘typosquatting’, que consiste en crear tanto ‘apps’ como webs falsas aprovechándose de errores tipográficos comunes y cambiar letras y números que tienen apariencia muy parecida. Por ejemplo, la letra ‘o’ por un cero (0) o la letra ‘l’ por una ‘i’ mayúscula (I), publica Europa Press.
Si bien no son exclusivos de estos días de compras, en estas fechas nunca faltan los ataques de ‘phishing’, fraudes a través de correos electrónicos dirigidos a la obtención de datos personales y financieros. Este consiste en engañar a un usuario haciéndose pasar por una empresa, servicio o persona de confianza.
Para ello, los estafadores crean un correo electrónico aparentemente legítimo y envían comunicaciones que requieren una acción inmediata. Por ejemplo, hacer clic en un enlace que dirige a una página web que resulta ser falsa, a pesar de que pueda tener una apariencia legítima.
Aprovechando esta técnica, conviene apuntar que también es habitual la clonación de sitios web, páginas ilegítimas que los actores maliciosos emplean para recoger información de identificación personal (PII), credenciales de acceso y datos personales de los consumidores.
En ambos casos, y para que los usuarios no acaben mordiendo el anzuelo, es recomendable acceder al servicio propuesto a través del navegador, introduciendo en ellos la url enviada a través de estos mensajes de forma manual, en lugar de hacer clic directamente sobre el enlace.
El ‘vishing’ también apunta a una presunta urgencia a través de llamadas telefónicas falsas, en las que los agentes malicioso se hacen pasar por alguna empresa o servicio para obtener información confidencial. Lo más habitual es que suplanten la identidad del banco e informen de un presunto problema con las tarjetas de crédito de las víctimas y que precisan información personal para bloquearlas para evitar fraudes.
En la línea con estas estafas telefónicas, conviene recordar que se ha multiplicado un nuevo tipo de engaño donde la víctima recibe una llamada y, cuando responde con un ‘sí’, salta una locución en la que se avisa de que ha formalizado la contratación de un servicio determinado.
Los usuarios, desconcertados, devuelven la llamada y dan sus datos confidenciales para, presuntamente, cancelar ese servicio, de manera que dejan expuesta toda su información personal para que los ciberdelincuentes hagan con ella lo que se les antoje, incluso contratar otro servicio a su costa.
El móvil, el mayor peligro
Como se ha visto, la gran mayoría de campañas maliciosas tienen por objetivo los ‘smartphones’ de las víctimas, algo lógico teniendo en cuenta que se trata de un dispositivo que acompaña al usuario allá donde vaya y funciona como un pequeño ordenador.
Por ello, además de las estafas comentadas, no está de más vigilar de cerca los mensajes SMS y las tarjetas SIM. Esto, porque también son frecuenten las campañas de ‘smishing’, una técnica de ingeniería social del mismo corte que el ‘phishing’, que emite la estafa a través de un SMS.
El duplicado de tarjeta SIM recibe el nombre de SIM ‘swapping’ y tienen lugar después del robo de la información de las víctimas, cuando los atacantes se hacen pasar por ellas para solicitar un duplicado de su tarjeta SIM. En muchas ocasiones, para conseguirla es suficiente llamar a la compañía de teléfono y dar el DNI y el nombre completo.
Una vez quedan expuestos, es muy común que cuando los atacantes quieran acceder a un servicio ‘online’, como una aplicación o la banca electrónica, se les solicite una identificación extra, para lo que se les envía un SMS. En caso de que ese código de seguridad no se haya solicitado, conviene llamar a la compañía telefónica para que anule el duplicado de la tarjeta.
Mejorar la seguridad en la navegación
Si bien buena parte de las compras se realizan a través del teléfono móvil, expertos en ciberseguridad coinciden en que las estafas comentadas también llegan con frecuencia a otros dispositivos electrónicos. Asimismo, apuntan a que hay una serie de herramientas que pueden servir de ayuda para evitar que su información acabe en manos de los estafadores.
Para evitar disgustos en las compras realizadas a través de todos los equipos electrónicos, es recomendable utilizar un bloqueador de anuncios o ‘ad blocker’ en el navegador que se utilice. Esto se debe a que los anuncios recopilan suficiente información sobre hábitos de uso y los ciberdelincuentes pueden utilizarla para diseñar campañas maliciosas según sus preferencias.
El uso de extensiones como uBlock Origin o Ghostery, entre otras, no solo protege a los usuarios, sino que también facilita la navegación en internet y hace que sea más rápida, consumiendo menos ancho de banda, según ha avanzado Sophos.
También es interesante utilizar la Navegación privada de Mozilla Firefox o el Modo incógnito de Google Chrome, que bloquea las ‘cookies’ de rastreo y evita que se guarde el historial de navegación, al que podrían tener acceso los agentes maliciosos en caso del robo de credenciales e, incluso, del dispositivo.
Por otra parte, conviene evitar los botones ‘Iniciar sesión con Facebook’ o ‘Iniciar sesión con Google’. A pesar de que son tentadores, debido a que permiten a los usuarios ahorrarse tiempo en el inicio de sesión, es mejor crear un nuevo inicio de sesión para obtener más privacidad.
En este sentido, la opción de inicio de sesión de invitado también es muy útil y recurrente, debido a que no es necesario introducir todos los datos -nombre, teléfono, dirección, etc.- de usuario si se va a realizar una única compra.
