Por Melina Barbosa
En los últimos meses, medios de comunicación y usuarios de redes sociales han reportado múltiples casos de las actividades fraudulentas denominadas Phishing, Smishing y Vishing, por tanto, en Verificado te explicamos cómo operan estos ciberataques, cómo identificarlos y sobre todo, cómo evitar ser víctima de estas prácticas.
En síntesis, el Phishing es una técnica que busca engañar a las personas para que den clic a enlaces o archivos infectados, el smishing es una actividad fraudulenta que se produce por mensajes de texto (SMS) y el vishing deriva de otras dos palabras del vocablo inglés: voice y phishing, el cual consiste en una llamada telefónica engañosa que el criminal realiza partiendo de datos previamente obtenidos de la víctima en internet.
México, segundo país con más ataques de phishing en LATAM
Después de Perú, México es el país de América Latina que más ataques de phishing recibe a través de diversos canales como correos electrónicos con códigos maliciosos y hasta mensajes SMS con la finalidad de consolidar algún tipo de estafa, esto según datos del Security Report, Latinoamérica 2022, elaborado por la compañía de software especializada en ciberseguridad, ESET.
Algunos de los hallazgos principales del reporte señalan que los troyanos que descargan o liberan amenazas en los dispositivos siguen siendo de los softwares maliciosos más detectados en LATAM, con más de 2 millones de detecciones al año.
De igual manera, el phishing se presenta como una vía de infección estable en el tiempo, contando con un promedio de alrededor de 10 mil detecciones diarias.
Según la investigación del ESET, las detecciones de vulnerabilidades en las aplicaciones, redes, sistemas operativos o hardwares latinoamericanos rompieron un nuevo récord en 2021, con más de 22 mil reportes a lo largo del año, lo cual resultó en un promedio de 4100 ataques detectados a diario.
En esta materia, Mario Micucci, investigador de seguridad informática del ESET, explicó durante una entrevista con Forbes México que existen diversos canales o superficies de ataques por los cuales los criminales están logrando consolidar alguna estafa a los usuarios, que van desde redes sociales, buscadores, plataformas de streaming y aplicaciones, hasta mensajes vía SMS o por WhatsApp.
El especialista en ciberseguridad reconoció que si bien es cierto que la población ahora toma más medidas para evitar estos ataques, aún falta camino por recorrer en términos de capacitación:
«Por supuesto que no es lo mismo que antes, vemos que los usuarios son más cuidadosos, sin embargo los criminales están aprovechando cualquier oportunidad para encontrar alguna vulnerabilidad».
Sobre los diversos engaños digitales
Social Tic, organización mexicana sin fines de lucro dedicada a la investigación, formación, acompañamiento y promoción de la tecnología digital e información, explica que existen tres tipos de phishing, cuyo concepto proviene del verbo “fishing” que significa pescar en inglés.
Este término se emplea para referirse al acto de «pescar» a alguien desprevenido y obtener algo de esa persona. A través del engaño, esta técnica puede obtener tus datos, dinero e incluso el control de tus dispositivos (computadora, tablet, celular).
El tipo de phishing más recurrente es a través de correos electrónicos donde se engaña al usuario final con el propósito de que éste caiga en el “anzuelo” y deposite dinero o haga clic en algún enlace infectado con virus o un spyware.
Aunque popular, la técnica del phishing no es exclusiva de correos electrónicos, esta técnica también es usada en páginas web como blogs, sitios de noticias o de deportes, archivos adjuntos o descargables de internet, así como aplicaciones y hasta sitios de bancos.
Tipos de phishing
1.- El que te roba tus datos: Busca obtener tu información personal para el
robo de tus datos, como números de tarjetas de crédito, contraseñas, cuentas y perfiles.
Esta técnica consiste en el uso de sitios o portales falsos de empresas y servicios (como tu banco) que buscan que ingreses tus datos.
Por ello, antes de introducir tus datos en una página web, revisa la URL y verifica que tenga HTTPS.
2.- El que te infecta: Motiva a darle clic a un enlace o descargar un archivo para infectar tus equipos con software malicioso (malware).
Este tipo de phishing consta de virus y programas maliciosos que infectan tus equipos a través de la descarga de archivos o el clic a enlaces con descripciones como:
– ¡Ganaste un premio, dale clic aquí!
– ¡Descarga el nuevo capítulo de tu serie!
Evitar caer en estos engaños digitales con las siguientes medidas de seguridad:
- Instala y actualiza tu antivirus
- Respalda tu información
- Instala un bloqueador de anuncios en tu navegador
- Considera formatear el dispositivo
- Cambia tus contraseñas y activa la verificación de 2 pasos.
3.- El que te infecta de forma específica y dirigida: En este caso, se utiliza tecnología costosa y sofisticada que se apoya en ingeniería social para conocer intereses y gustos de la persona objetivo.
Este modo de phishing implica los malwares más peligrosos, difíciles de detectar y capaces
de tomar el control de tus equipos a través de mensajes personalizados, engañosos, provocativos e inclusive amenazantes.
Si sospechas que tu equipo está infectado con este tipo de malware dirigido, se recomienda buscar ayuda especializada a la brevedad.
Por otro lado, si buscas mejorar tus habilidades de detección de phishing, los expertos de Social Tic recomiendan realizar la siguiente actividad a manera de probar tus conocimientos sobre engaños digitales:
https://www.opendns.com/phishing-quiz/
Smishing
El smishing ha mostrado un notable incremento a raíz de la pandemia por Covid-19 y figura entre las estafas más comunes vía Servicio de Mensajes Cortos (SMS)
Se trata de una actividad fraudulenta que se produce por los mensajes de texto, mensajes de WhatsApp o cualquier otra red social. En está nueva modalidad, los ciberdelincuentes envían un mensaje de texto haciéndose pasar por una entidad bancaria, una institución gubernamental, una tienda de comercio electrónico, una plataforma audiovisual como Netflix o Prime Video e incluso como ofertas de trabajo.
El atacante llama la atención del usuario y le indica que su tarjeta de crédito, sus datos personales, el pago de un pedido o la suscripción a una plataforma contienen algún tipo de error o han sido hackeadas. En este caso, solicitan a la víctima que “actualice” sus datos mediante un enlace que aparece en el mensaje de texto.
Si el usuario hace clic en ese enlace será redirigido a una página web exactamente igual a la de su entidad bancaria, tienda electrónica o plataforma audiovisual. Sin embargo, se trata de una página falsa que busca obtener los datos del usuario y acceder con ellos a la plataforma real.
En la actualidad y debido al gran incremento de las compras online, hay una campaña muy activa de SMS fraudulentos que lo único que buscan es tu información personal.
Por tanto, para evitar el smishing, se aconseja no contestar al mensaje sospechoso, no hacer clic en ningún enlace y si tienes dudas, ponte en contacto con la entidad a la que el mensaje hace referencia y corrobora los datos.
Vishing
El vishing se produce en dos pasos:
- 1. El delincuente ha robado tus datos a través de Internet o de un correo electrónico, utilizando el formato phishing o smishing.
- 2. A continuación, el delincuente se pone en contacto contigo haciéndose pasar por un trabajador o técnico de la entidad financiera, institución gubernamental, tienda electrónica o plataforma audiovisual con el objetivo de obtener tus claves de seguridad (firma digital), tus claves de acceso a una tienda e-commerce o los números de tu tarjeta de crédito o débito.
El estafador, incluso, puede aludir a facturas no pagadas, al cierre de tu cuenta bancaria o el bloqueo de una cuenta en plataformas como Netflix, Amazon u otras.
Si dudas o sospechas de la llamada en cuestión, cuelga. Ponte en contacto con tu gestor, en caso de que el delincuente te haya solicitado tus claves bancarias, accede a la web de la que te exigen los datos personales o con tus compañías de gas y luz si el estafador se hace pasar por un trabajador de las compañías y corrobora la información.
Tanto tu gestor del banco como los verdaderos trabajadores de estas entidades disponen de esos datos, por lo que no los necesitan y nunca te los pedirán -expresamente- a través de una llamada de teléfono que recibas.
Lo más importante, siempre, es verificar la información y comprobar que todo está en orden.
También se recomienda activar la opción de tu teléfono móvil de recibir llamadas de tipo spam o no deseadas, pues el teléfono filtrará las llamadas y bloqueará muchas otras que buscan estafarte.
Si eres usuario de iOS puedes bloquear los emails desconocidos (smishing): ve a Ajustes, haz clic en Mensajes y activa la opción «Filtrar remitentes desconocidos». Para llamadas de teléfono, deberás bloquear los números uno a uno.
Si eres usuario de Android, dirígete a Ajustes, haz clic en Seguridad y luego activa la opción «Filtrar spam».
Claves para identificar posibles engaños digitales
Social Tic señala que los engaños digitales están pensados para aprovecharse del desconocimiento de las personas en cuanto a seguridad digital, por tanto, para que no te engañen compartimos algunas cuestiones que debes observar siempre al navegar:
– Fijate siempre en la barra de navegación: Los sitios de las grandes compañías y cada día más sitios en internet usan certificados digitales para garantizar que tu navegación esté protegida. Basta con dar una mirada a la barra de dirección y verificar si el sitio que navegas tiene HTTPS seguido de la descripción de la web.
– Los correos electrónicos indeseados: Si recibes un correo no deseado lo primero y más importante es que no lo abras, algunos incluyen componentes (como imágenes o instrucciones) que se accionan al abrir el correo electrónico. Muy importante, no hagas clic en ningún enlace.
– Cadenas de mensajes en Whatsapp, telegram, FB, etc: Salva a una persona del phishing no compartiendo ni reenviando las insufribles cadenas de mensajes que luego se distribuyen por internet. Por muy triste que sea la historia, o te prometan el mejor chiste del mundo no lo abras y tampoco lo compartas.
La recomendación clave es que pienses dos veces antes de abrir un correo o mensaje sospechoso, presta atención a los detalles y a las señales de posibles engaños.
LINKS / FUENTES:
