Como recoge el Sistema Estadístico de Criminalidad (SEC), gestionado desde el Ministerio del Interior, del total de ciberdelitos denunciados en 2019 un 88% corresponden a fraudes online. Además, desde el comienzo de la pandemia, muchos han incrementado el tiempo frente a la pantalla del ordenador o del móvil, ya sea debido al teletrabajo o simplemente por nuestro interés por entender cómo la COVID-19 afecta a nuestra sociedad, por los que las autoridades han alertado del gran riesgo que suponen todos los tipos de estafas por internet.
En Newtral queremos ayudarte a que, en caso de enfrentarte a un potencial robo de información en internet, puedas estar prevenido y poseas las herramientas necesarias para no caer en la trampa. Por eso hemos creado este glosario con los términos sobre las ciberestafas que más circulan por la red.
¿Qué es el ‘phising’?
El término phishing viene de una variación del verbo “pescar” (“fishing”) en inglés y se refiere a un tipo de práctica que consiste en un usuario malicioso que nos envía un correo electrónico o mensaje de texto de apariencia inofensiva con el objetivo de hacernos caer en la trampa de darle nuestra información personal, ya sea una contraseña o información bancaria.
Si bien en el pasado estos mensajes eran más fáciles de identificar ya que incluían errores de ortografía o una redacción poco clara – que podía hacernos sospechar – recientemente esta práctica se ha vuelto más sofisticada, lo que hace que sea más fácil para nosotros picar el anzuelo.
En la actualidad estos correos pueden hacerse pasar por oficinas de gobierno, empresas o instituciones fácilmente reconocibles por nosotros como un banco o Netflix e incluir los logos o tipografías de estas marcas para confundirnos. Incluso provienen de una dirección de correo o página web que, a simple vista puede parecer oficial. Sin embargo, es todo parte de un elaborado engaño para obtener nuestros datos.
Como te explicamos en detalle aquí, hay una serie de prácticas que puedes tener en cuenta a la hora de revisar tu correo electrónico que te ayudará a no caer fácilmente en estos engaños.
- Para empezar, siempre comprueba correctamente el origen del mensaje y evita responder a un pedido de datos personales (nombre, DNI, contraseñas o datos bancarios).
- En el caso de los correos electrónicos, asegúrate de prestar atención al nombre de dominio (que viene después del @ en la dirección de correo) para corroborar que efectivamente es la organización que dice serlo.
- También recuerda tener mucho cuidado al abrir archivos adjuntos, especialmente aquellos que intentan instalar algún tipo de software en tu ordenador. Si recibes un correo de origen dudoso con un archivo adjunto que no has pedido, desconfía antes de abrirlo.
Otros tipos de estafas por internet: ¿qué es el ‘vishing’?
En los últimos meses las autoridades oficiales en España han alertado de una nueva oleada de vishing, un tipo de estafa por internet que también tiene como objetivo hacerse con tus datos personales, solo que esta vez el delincuente lo hace a través de una llamada telefónica y se hace pasar por una empresa o institución en la que confiamos (vishing es la combinación de “voice” [“voz” en inglés] y “phishing”). Por ejemplo, en Newtral.es hemos desmontado diversos casos de vishing en los que los estafadores suplantan la identidad de empresas como Telefónica.
Como te hemos contado aquí, es importante desconfiar de quien nos llame por teléfono en representación de un banco, oficina del gobierno o empresa cuyos servicios utilizamos y nos pida nuestros datos bancarios, contraseñas u otros credenciales.
Si quien está del otro lado no nos genera confianza, podemos pedir que nos llame en otro momento para contrastar la información que nos brinda y contactar nosotros mismos con la organización que representa para corroborar que es cierta, como recuerda la Oficina de Seguridad del Internauta.
¿Qué son el ‘smishing’ y el ‘spoofing’?
El smishing es una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico. Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto.
Es decir, se trata de una estafa por internet del tipo phishing pero que solo emplea los mensajes SMS. En Newtral.es ya hemos alertado de algunos de estos mensajes de móvil fraudulentos, como el que suplanta la identidad de la compañía de envíos GLS. Si la estafa se realiza a través de email también se le denomina spoofing.
Siguiendo las recomendaciones del Instituto Nacional de Ciberseguridad (INCIBE), si una persona sospecha haber sido víctima de uno de estos fraudes debe hacer cuantas capturas de pantalla como sea posible, así como apuntar los datos de contacto e información personal que haya podido compartir con los ciberdelincuentes.
Estas evidencias deben ser presentadas ante las Fuerzas y Cuerpos de Seguridad del Estado en forma de denuncia. También se pueden reportar estos hechos directamente a través de la web de la Oficina de Seguridad del Internauta (OSI).
Además, si creemos que se ha vulnerado la seguridad de nuestras cuentas con este tipo de estafas por internet, será fundamental que procedamos a cambiar las credenciales de acceso, por ejemplo, de nuestro banco, correo electrónico o redes sociales. Asimismo, el INCIBE dispone de un teléfono gratuito para consultas sobre ciberseguridad (017).
¿Qué es el ‘malware’?
El malware es un archivo malicioso que se instala sin autorización en los dispositivos de las víctimas, permitiendo al ciberdelincuente la extracción de información o el uso de los recursos del sistema infectado. Para ello, se aprovechan de debilidades del software y hardware de teléfonos móviles, ordenadores de sobremesa y portátiles y todo tipo de sistemas.
Por ejemplo, en Newtral.es ya alertamos de un correo electrónico fraudulento que suplanta la identidad de Vodafone y que envía una factura falsa con un malware, un virus que se descarga al pinchar sobre la factura. Lo mejor es no abrir correos sospechosos, pero, si caes en la trampa, puedes ponerte en contacto con el INCIBE a través del teléfono gratuito 017.
Otros tipos de estafas por internet: ¿qué es el ‘ramsomware’?
Seguramente habrás escuchado hablar de ransomware en los medios de comunicación estos últimos meses. Y es que si bien los casos de phising o vishing pueden lograr desestabilizar nuestras finanzas, este tipo de estafa por internet, el ransomware, tiene la capacidad de afectar a naciones enteras.
Como ya hemos explicado en Newtral, esta práctica consiste en una especie de secuestro (“ransom” en inglés significa un dinero que se paga para recuperar algo) de equipos y de datos, a través de un software dañino que encripta tus archivos y hace que sean inaccesibles para los usuarios. Los delincuentes suelen exigir el pago de un rescate para entregar la clave que liberará posteriormente la información.
Seguramente habrás escuchado hablar sobre el ataque que sufrió el sistema informático del Servicio Público de Empleo Estatal (SEPE, el antiguo INEM) que se encarga de la gestión de las prestaciones por desempleo el pasado 10 de marzo e inhabilitó parte de su web durante varios días.
Estados Unidos también sufrió dos ciberataques similares, que afectaron primero a la compañía de oleoductos Colonial Pipeline, que debió pagar 4,4 millones de dólares (unos 3.7€ millones) para restaurar el control de sus operaciones, y luego a la mayor procesadora de carnes del mundo JBS SA.
En este caso, la procesadora admitió pagar 11 millones de dólares (unos 9.4€ millones) en bitcoin para evitar disrupciones adicionales a su funcionamiento.
Con respecto al ataque contra el SEPE, su director Gerardo Gutiérrez dijo en una entrevista a RNE que no se había pedido ningún tipo de rescate.
La forma que tienen los ciberdelincuentes de acceder a nuestros archivos con el ramsomware es, en la mayoría de los casos, a través del correo electrónico. Lo único que se necesita es clicar en un enlace que nos llega en un correo electrónico de alguien que conocemos (y que ha sido previamente vulnerada). También puede venir en forma de pdf, o hoja de cálculo con un nombre que nos suene familiar y nos invite a abrirlo.
Una vez hacemos clic, el malware “infecta” o comienza a desplegarse por nuestro equipo recopilando información sobre nuestro sistema operativo y nuestros archivos y espera instrucciones de los atacantes sobre cómo proceder.
La mejor forma de evitar caer en la trampa es, al igual que con los casos de phishing, ser muy cuidadoso a la hora de abrir archivos extraños que no hemos solicitado y que recibimos dentro de correos electrónicos sin mucha información de contexto – solo instándonos a clicar sobre ellos.
¿Qué es el SIM-swapping?
El SIM-swapping es una técnica de ciberfraude que consiste en duplicar nuestro número de teléfono para así poder usurpar nuestra identidad.
Tal como ya explicamos aquí, los atacantes pueden lograr explotar alguna vulnerabilidad de tarjetas SIM antiguas o mediante ingeniería social (esto es, llamar a las compañías y conseguir que el número de teléfono asociado a un usuario se cambie a una SIM nueva.”
Al poder realizar y recibir llamadas utilizando tu propio número, esto permite que fácilmente puedan acceder a formas de autenticación de identidad utilizadas por instituciones bancarias o correos electrónicos.
Según la organización del consumidor OCU, cuando alguien activa un duplicado de tu SIM, la que tienes se desactiva automáticamente, dejándote sin cobertura o, lo que es lo mismo, sin poder hacer llamadas ni Internet. Este es el primer síntoma que debería hacerte sospechar de que quizás estás siendo víctima de un SIM swapping.
“Si te pasa esto, contacta enseguida con tu operadora para que te confirme si alguien ha hecho un duplicado de la tarjeta SIM sin tu permiso y, enseguida, informa a tu banco de lo que ha pasado”, aconseja la OCU.
De Valencia
Wallapop--> Decenas de ventas, siempre en mano. Ningún problema.
-eBay--> La única venta que hago a distancia y me intentan estafar. Resumo:
El comprador compra el producto sin ningún problema. Te hace salir del chat de eBay (WhatsApp o e-mail), primer error. Te hace comprar tarjetas regalo (Steam, PS4) con la excusa de que mandes el regalo a su "nieto" todo a la vez. Te pide fotos y factura de compra (correcto), después te dice que le enseñes un código de la tarjeta "para ver qué está todo correcto". Sí claro, que somos idiotas. Le dices que no, entonces te dice que te lo paga todo primero por PayPal o transferencia. Ok, esperamos. De repente te dice que eBay ha mandado un correo para que verifiques el contenido del producto y de las tarjetas y... los códigos de las tarjetas. Reviso el e-mail (igualito que los de eBay oye, pero los dominios siempre les delatan). Mando a soporte de eBay el e-mail. Me dicen que es falso. Lo he pillado, por WhatsApp, le digo que "más vale que no te pille en persona gilipollas". Le borro el chat, pero es tan inútil que le escribo a su correo de eBay de Gmail y aún lo tiene activo. Le digo, a ver inútil, cierra ese correo que te lo está rastreando eBay y la policía así como tus dos teléfonos prepago con los que hemos estando chateando por WhatsApp. Me imaginaba que era un SPOOFER pero digo, a ver hasta dónde llega el tontito este. Estiré demasiado la cuerda pero tenía más que ganar que perder si hubiera salido bien la transacción.
A mí me ofreció activar con 9.99 euros
En Facebook me ha caído un mensaje que dice que me han creado una cuenta llamada LA Cueva del Tesoro. Me piden cerca de 19 dólares para que yo pueda sacar más de mil dólares qu econforme las horas se van acumulando. Yo creo que es una estafa
Tengo la misma duda, creo que debe ser una estafa, en mi caso me ofreció activarla con 11 euros.