Sé listo y haz caso a las señales

Hace poco recibimos un correo electrónico, supuestamente de Movistar, en el que se nos recordaba que teníamos una cita con el técnico al día siguiente.

Lo analizamos y nos dimos cuenta de algunas cosas que no nos cuadraban y en las que te convendría fijarte si recibes este mail u otro similar:

1. Has recibido este correo electrónico de Telefónica y ni siquiera eres cliente de este operador telefónico.

2. No has llamado previamente a la compañía ni has enviado un mail para solicitar cita con un técnico.

3. El lenguaje utilizado en el cuerpo del correo no es correcto: para que el texto estuviera bien escrito en lugar de “Si gusta anular o modificar visita agendada favor ingrese a….” debería poner “Si DESEA anular o modificar LA visita agendada POR favor DIRÍJASE a…”

4. El enlace a la web no es el habitual de Telefónica: en el mail que nos ha llegado vemos un link (http://m.mvch.cl/agenda) que nada tiene que ver con el www.movistar.es que utilizan Telefónica o Movistar.

Si estos indicios no fueran ya suficientes, decidimos pinchar en el enlace y descubrimos más detalles sospechosos:

1. La URL es de Chile: si nos fijamos en la barra de direcciones de nuestro navegador, veremos que la URL lleva la terminación .cl en vez de la .es propia de las páginas web españolas.

2. Más errores gramaticales: se usa incorrectamente la palabra rut en lugar de router.

3. Los menús de la página no funcionan cuando se pulsas sobre ellos.

Muchos tipos de phishing

Tu banco, Correos, Amazon, Netflix, la Agencia Tributaria, una oferta de trabajo, una página donde has comprado algo o contratado un servicio... Son muchas las excusas y los tipos de engaño que usan para hacerte "picar":  te damos algunas recomendaciones de cómo proceder según el tipo de engaño del que seas víctima.

• Recibes una comunicación que pretende ser del banco,  indicándote que para poder seguir usando la banca online necesitan verificar tu identidad y te proponen un enlace donde a continuación te piden tus claves de acceso a la banca online.

  Si crees que han suplantado a tu página del banco y has dado información financiera ponte en contacto inmediatamente con tu banco para hacérselo saber.
  
  

• Te llega un correo "profesional" Si te llega un correo de un desconocido con un cargo importante invitándote a una reunión por Teams, y te dejan un enlace con el que logarte con tu correo-e y clave de acceso de la empresa. Con esos datos, podrían acceder al sharepoint o servidores de tu empresa y acceder a información sensible y estratégica.

  Si el engaño te ha llegado a través del email corporativo y has proporcionado tus credenciales, contacta con el Centro de Atención a Usuarios - CAU, ellos te darán las pautas a seguir.
  
  

• Te llega un falso correo o mensaje SMS de Correos en el que te piden que debes pagar un pequeño precio por una entrega de un paquete, y resulta que has dado tu número de tarjeta...

  - Anula esa tarjeta cuanto antes.

  - Llama a tu banco y ellos te darán las pautas a seguir.
  
  

• Recibes un correo de Paypal. Si te ha llegado un supuesto email de Paypal informándote de un cuantioso pago realizado con tu cuenta y te piden hacer clic en un enlace para anularlo... pero claro, previamente debes proporcionar tus claves de acceso.

  - En ese caso es muy importante cambiar la contraseña de ese servicio, en este caso Paypal, cuanto antes.

  - Si eso no fuera posible, deberías ponerte en contacto con la compañía para informar del fraude o, avisar al  banco asociado a tu cuenta de Paypal o servicio correspondiente.

Estos son solo algunos ejemplos , pero  así muchos más: las excusas de los ciberdelincuentes son muy numerosas. Y, por muy llamativo que sea el gancho que utilicen para engatusarnos (cupones de descuento, reembolsos, smishing … ), hay que andarse con ojo y estar atento a las señales.

El ciberataque "de moda"

Desde hace un tiempo están alertando sobre falsos SMS: mensajes que llegan a nuestros teléfonos móviles en principio procedentes de bancos, de entidades como Correos, Hacienda o de alguna de las administraciones, alertándote de la falta de alguna documentación, del bloqueo de una cuenta, de un cargo que nos han realizado... 

Con ese alarmante mensaje lo que pretenden es dirigir a la víctima a una página que simula ser la página web oficial de una entidad bancaria o de un organismo determinado, pero que en realidad es falsa, y allí hacerle dar una serie de pasos destinados a solucionar ese "grave" problema. Pero la amenza está en el mensaje en sí, porque con ese SMS y su extraño enlace lo que se busca es robar las credenciales de acceso al servicio bancario. Es un tipo especial del phishing.

¿En qué consiste el smishing?

En esta variante del phishing, los ciberdelincuentes recurren a los mensajes de texto al móvil, los famosos SMS: nos mandan un mensaje alarmante que anima a llamar a un número de tarificación especial o a acceder a un enlace.

Nos avisan de que nuestra cuenta ha sido bloqueada y, si queremos reactivarla, hemos de pinchar en un link que nos lleva a una página web parecida a la del banco. O de que un paquete ha sido retenido en aduanas y hemos de pagar las tasas en la web enlazada, o de que no hemos aceptado los términos y condiciones... El objetivo es dirigir a la víctima a una página web falsa para robar las credenciales de acceso al servicio bancario.

Cómo son los mensajes

Según alerta OSI, los últimos mensajes SMS detectados, en campañas que se están recrudenciendo en los últimos meses:

• Recurren a términos que incitan a la acción, te invitan a hacer clic en el mensaje diciendo “seguridad”, “activar”, “actualizar”, “tarjeta”, “reactivar”, “cuenta” o “bloqueo”.

• Contienen enlaces fraudulentos con dominios como .ly, .to, .at, .com, .eu.

¿Qué debes hacer?

Desconfía de este tipo de mensajes y, si crese que hay un problema de verdad, llama directamente a tu banco o mensajería para comprobarlo.

Si has recibido un SMS y has "picado", accediendo al enlace y facilitando cualquier dato:

• Ponte en contacto cuanto antes con la entidad o el organismo en cuestión para informarles de lo sucedido y cancelar posibles acciones.

• Cambia la contraseña de acceso a tu banca online, allí y en todos servicios en los que utilices la misma clave, si es el caso.

Cómo evitar los fraudes cibernéticos

• No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.

• No contestes en ningún caso a estos SMS.

• Ten precaución al seguir enlaces.

• Fíjate en la url de la página web. Si no es segura, o si no corresponde con el sitio al que quieres acceder, no facilites ningún tipo de información.

• En caso de duda, consulta directamente con la entidad implicada o con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o INCIBE.

Suplantación de identidad

El spoofing o suplantación de identidad es un ataque en el que un ciberdelincuente se hace pasar por una entidad bancaria, institución pública, una compañía... para hacerse así con los datos  personales del afectado con fines delictivos: robar dinero, hacer chantaje, propagar malware a través de archivos adjuntos, o enlaces infectados.

La suplantación de identidad se puede realizar a través de correo electrónico (un email que suplanta la identidad de una empresa), una web (que suplanta la identidad e una entidad ) o una llamada (una persona que suplanta la identidad de tu gestor del banco).

¿Llamada del banco? ¡Atento!

El último ejemplo de spoofing, que está causando estragos últimamente, consiste en que el usuario recibe una llamada, supuestamente de su banco, alertándole de que alguien está realizando operaciones en sus cuentas y le insta a transferir su dinero a una cuenta segura y para ello le piden los datos necesarios (DNI, datos de acceso, claves…). El engaño suele estar muy bien diseñado,

• loa interlocutores utilizan términos bancarios y hacen alusión a datos concretos que dan versimilitud al engaño,

• recurren a programas informáticos que permiten cambiar el número de teléfono que aparece en pantalla y "colocan" el de nuestro banco (con lo que animan a devolver la llamada para comprobar que no es una trampa, pero vuelven a atenderte los mismos).

Normalmente transfieren el dinero a una cuenta de una tercera persona que ha cedido su identidad y que recibirá una comisión a cambio del riesgo de ser pillado y, luego, trasladan el dinero a criptomonedas, donde ya se hace muy difícil su rastreo.

Como protegerse del spoofing

No solo se hace por teléfono. Otras veces recurren a un SMS con la misma intención, o incluso a un correo. Lo que diferencia a este ciberengaño de otros casos de phishing es precisamente la suplantación de identidad.

Como siempre la mejor arma para evitar caer en la trampa es el sentido común:

• Desconfía de llamadas de alertas. Ten en cuenta que el banco nunca te pedirá claves, ni códigos que se envían por SMS, ni nada.

• Comprueba lo que te dicen antes de hacer nada. No llames de vuelta a quien te llama, sino que debes colgar la llamada y llamar a tu gestor o entrar en la app y verifica los movimientos de las cuentas.

• Si has caído, ponte en contacto con el banco y con la policía cuanto antes.

Nueva ciberestafa

Los códigos QR permiten, mediante su lectura a través de la cámara de nuestros teléfonos móviles, el acceso directo a contenidos de Internet.

Aunque se vienen utilizando desde hace tiempo, se popularizaron especialmente a raíz de la pandemia, por ejemplo, para poder consultar la carta de muchos restaurantes. Pero su creciente popularidad ha hecho que los ciberdelincuentes hayan encontrado otra manera de hacerse con los datos de los usuarios, utilizando códigos QR falsos. Y ya hay varios casos de lo que se ha dado en llamar "QRishing":

• En Estados Unidos se denunció el uso de códigos QR falsos adheridos en parquímetros para realizar el pago.

• Hace unos meses desde el Ayuntamiento de Madrid se alertaba de la aparición en los parabrisas de algunos vehículos de falsas sanciones de tráfico que incluían un QR.

Un QR falso que lleva a una web fraudulenta

La manera en que funciona este engaño es la misma que en la mayoría de las estafas de este tipo: al escanear el código, se dirige al usuario a una web falsa, que finge ser auténtica. El objetivo que el consumidor, engañado, facilite sus datos a través de esos enlaces o páginas falsas. En los casos de QRishing que hemos conocido, piden las credenciales de seguridad bancarias, que luego usarán en operaciones fraudulentas.

Cómo evitar caer en la trampa del QRishing

La mayoría de los fraudes online se producen mediante el acceso a las credenciales de seguridad de los usuarios mediante métodos cada vez más sofisticados, que van adaptándose para intentar saltarse las medidas de seguridad que se van implementando. 

Para prevenir caer en este tipo de trampas y evitar el robo de datos:

• La mejor opción es identificar la dirección web a la que nos remite el código QR: hay aplicaciones de lectura de QR que permiten ver el enlace antes de abrirlo, usa mejor alguna de ellas así podrás comprobar si se trata de un enlace sospechoso.

• Instala apps solo de fuentes fiables: cuidado con los enlaces para instalar app a los que accedas a través de un QR.

• Desconfía de las páginas en las que tenga que facilitar datos personales o bancarios.

• En cualquier caso, comprueba que se trata de una página segura, que comience por https://, lo que significa que es un sitio legítimo y tiene un certificado SSL (que mantiene la seguridad de sus datos) 

No te expongas: recuerda nuestros consejos y evita el phishing y otros fraudes similares.

Vulnerabilidades del Bluetooth

Los ciberdelincuentes pueden intentar acceder a tus datos a través del Bluetooth sin que te des cuenta. El objetivo es hacerse con información sensible contenida en el teléfono, como tus contraseñas o tus datos bancarios y personales, parar suplantar tu identidad y realizar transacciones o compras online. Crece el bluesnarfing, que es como se conoce a este tipo de ciberataque de phishing. 

¿Cómo se produce un ataque ?

A diferencia del phishing, en el que se recurre a un engaño para robar tus datos (personales o bancarios), el bluesnarfing es un ataque complejo, que llevan a cabo hackers especializados. De entrada, solo puede darse si se cumplen una serie de condiciones .

• Es preciso que tengamos activada la conexión Bluetooth del dispositivo.

• El ciberdelincuente debe estar cerca de ti: la conexión Bluetooth no suele alcanzar más allá de los 15 metros, por lo que es preciso que el hacker se encuentre en las proximidades de tu móvil.

• Lo habitual es que nuestro móvil nos pida autorización para permitir el emparejamiento con otros dispositivos, pero los ciberdelincuentes pueden utilizar programas específicos para encontrar vulnerabilidades que permitan establecer una conexión con nuestro dispositivo sin que nos demos cuenta y acceder así a nuestros datos.

El resultado es que pueden llegar a robarnos información sensible (contraseñas, por ejemplo), pueden suplantar nuestra identidad y, si llegan a acceder a nuestros datos bancarios, pueden incluso realizar transacciones o compras online.

En cualquier caso, los modelos de smartphone más nuevos (o más actualizados) no son vulnerables a este tipo de ataque: para que se produjera tendrían que abrir específicamente los ajustes Bluetooth del teléfono, y aclarar las implicaciones de desactivar el Bluetooth (lo de que no funcionen otros dispositivos). 

Cómo evitar ser víctima del bluesnarfing

Lo mejor es prevenir, evitar que los ciberdelincuentes puedan acceder a nuestro dispositivo:

• Es muy importante actualizar el software de tu dispositivo móvil, mantenerlo siempre actualizado a la ultima versión: las actualizaciones corrigen debilidades existentes y aumentan la seguridad de nuestros terminales.

• Mantener desconectado el Bluetooth mientras no se utiliza evita este tipo de intrusión (pero claro, si no lo usas, porque si desactivas el Bluetooth no podrás conectarte a otros dipositivos, si es que lo haces). Más realista es configurarlo para que no sea visible desde otros dispositivos.

• No aceptes solicitudes de dispositivos desconocidos. En ningún caso hay que permitir el emparejamiento de otro dispositivo sin tener la certeza de que pertenece a alguien conocido.