Las nuevas ciberestafas que hay que tener en el radar para una vida digital segura

A medida que la digitalización se integra en nuestro día a día, crece la exposición a sufrir nuevas formas de ciberataques. En el caso de España, en los nueve primeros meses del año se han producido más de 337.000 estafas online, un 21,5% más que el mismo periodo de 2022, según el Ministerio del Interior. Tomar conciencia de los riesgos que representa nuestro paso por la red es fundamental para llevar una vida digital segura, pues los fraudes por internet se multiplican y evolucionan de manera permanente.

Banco Santander ofrece diversas herramientas para estar al día y conocer todas las técnicas que utilizan los ciberdelincuentes. En la sección Wiki Seguridad Online, la entidad recopila en un glosario muy completo todos los términos que nos pueden generar dudas en este tema. Es muy útil, teniendo en cuenta la cantidad de nuevos conceptos (muchos de ellos en inglés) y las nuevas modalidades que nacen cada día. Entre ellas, destacan las siguientes:

Smishing, phishing y vishing. Hay que empezar por un repaso de las estafas tradicionales. Éstas se originan cuando se recibe un SMS (smishing) o correo electrónico (phishing) de alguien que se hace pasar por un banco u otra empresa, con un enlace que dirige a una web falsa para conseguir datos personales y claves de los usuarios o para invitan a descargar un programa o app que infectarán nuestros dispositivos. En el caso del vishing, se recibe una llamada de alguien que alerta sobre una supuesta incidencia con la tarjeta, cuenta bancaria, alguna transacción pendiente de anular, cambios en contratos, etc. El objetivo es el mismo, lograr la Clave de Acceso, Clave de Firma, las claves de confirmación o datos de cuentas bancarias de la víctima. Hay que tener cuidado porque pueden simular que llaman desde el teléfono del banco y de otras compañías.

Overlay, o superposición de pantallas. Es una técnica usada por ciberdelincuentes para robar credenciales bancarias, en ordenadores y en dispositivos móviles y tabletas. Según explican desde la web de la entidad, este engaño consiste en superponer un formulario por encima de la aplicación que está utilizando el usuario, como una pantalla emergente que se camufla entre el contenido oficial. De esta manera, y sin darse cuenta, el usuario deja sus datos en la pantalla superpuesta, permitiendo que esa información llegue a los ciberdelincuentes. Al tratarse de una infección por malware (como se denomina a un software malicioso), esta técnica puede llegar a cualquier usuario, aunque suele estar dirigida a empresas.

Callback phishing. Funciona de manera similar al phishing tradicional: los ciberdelincuentes envían un correo electrónico suplantando la identidad de una empresa, organización o entidad legítima (simulando logos, tipografía, y otros detalles para dar la sensación de veracidad). La diferencia radica en que a la víctima se le informa sobre una falsa orden de compra, pedido o suscripción, y el mail incluye un número de teléfono de un supuesto departamento de atención al cliente que anima a la víctima a llamar para solventar la incidencia. Una vez cae en el engaño y realiza la llamada, los ciberdelincuentes tratan de consolidar el fraude desde sus propias centralitas telefónicas. El problema surge cuando el ciberdelincuente, haciéndose pasar por un asesor, explica que es necesario que le facilite los datos de su cuenta bancaria o tarjeta de crédito, descargue el archivo de un nuevo correo electrónico que se le enviará a su bandeja de entrada o abra una sesión de escritorio remoto. Posteriormente, obtiene los datos confidenciales que necesita o infecta el equipo de su víctima para poder robar dinero o datos que les permitan realizar otros intentos de ciberataque o la extorsión online.

Cybersquatting. Se define como la apropiación de nombres de dominio registrando uno que simula ser otro legítimo, con el objetivo de traficar con él o utilizarlo con fines fraudulentos. La Organización Mundial de la Propiedad Intelectual (OMPI) indica que para que se produzca cybersquatting deben darse alguna de las siguientes situaciones: que el nombre sea idéntico o muy similar al de una marca registrada; que el propietario del nombre de dominio fraudulento no tenga derecho o interés legítimo sobre la marca registrada; o que el nombre de dominio registrado se utilice con mala fe. Esta práctica puede afectar negativamente a la imagen de las marcas, por lo que vigilar que no se está siendo víctima de esta técnica maliciosa es clave. El usuario puede confundirse, pues los estafadores hacen pequeños cambios en el nombre al que quieren suplantar, como añadir, sustituir o eliminar una letra del nombre de dominio. Hay múltiples variantes para que una pequeña modificación refleje un nombre diferente. Por ejemplo, “tubanco.com” se le elimina una letra y se registra como “tubaco.com”.

QRishing: Es un fraude más novedoso que aprovecha los códigos QR para llevar a la víctima a páginas web fraudulentas. Usualmente le piden escanear un código QR para obtener un descuento y termina en un sitio que intenta robar su información. De ahí la importancia de solo escanear códigos QR de fuentes confiables, y evitar hacerlo en caso de sospecha.

RAT (Remote Administration Tool). Se trata de una llamada de una empresa de servicios en la que piden instalar un programa supuestamente legítimo para ayudar al usuario a solucionar un supuesto problema que se tiene con el ordenador, con el fin de obtener acceso remoto al dispositivo. Esto es muy peligroso, pues una vez tengan el control del dispositivo pueden acceder a las claves personales, obtener datos confidenciales, realizar transacciones, etc.

Malware bancario. Estos programas maliciosos que se pueden instalar descargando algún software aparentemente seguro, entrando en páginas web infectadas o haciendo clic en anuncios o enlaces fraudulentos recibidos por correo o SMS. Es una amenaza grave, pues si el dispositivo está comprometido, los ciberdelincuentes pueden obtener acceso directo a los SMS para obtener, por ejemplo, un código de confirmación para realizar las operativas, y así conseguir los datos de tarjetas y acceso a la web y app del banco. También pueden tener acceso a otro tipo de aplicaciones o programas.

Qué hacer en caso de ciberataque

Banco Santander también ofrece recomendaciones sobre cómo actuar en caso de sospechar ser víctima de un ciberataque. La principal de ellas es estar alerta a las señales y ante cualquier SMS, email o llamada haciéndose de supuestas entidades o instituciones solicitando las claves o la descarga de una aplicación, no debe darse ninguna información ni hacer clic en ningún enlace. Es fundamental contactar con el servicio al cliente lo antes posible. Además, si se ha seguido el enlace e introducido las credenciales de acceso a la cuenta bancaria, el usuario deberá modificar lo antes posible la contraseña de acceso a la banca online, así como informar a la entidad de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma. Y en el caso de que se hayan facilitado las credenciales de la cuenta financiera, se deben recopilar todas las pruebas de las que el afectado disponga (como capturas de pantalla, e-mail, mensajes, etc.) y contactar con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Santander también ofrece un curso interactivo llamado Cyber Heroes para aprender a navegar seguros por la red, ser más conscientes de la ciberdelincuencia y evitar el fraude. Otra de sus apuestas más recientes para concienciar sobre la importancia de la seguridad es Titania, el primer podcast de ficción de la entidad. Este thriller sonoro futurista, escrito por los guionistas Manuel Bartual y Juanjo Ramírez Mascaró y producido por Podium Podcast, consta de ocho episodios, de 20 minutos de duración. Esta historia de entretenimiento permite concienciar al público sobre los peligros que existen en el mundo digital y transmitir simples y útiles consejos para evitar ser víctimas de ataques y fraudes.

Para consultar todas las recomendaciones de seguridad online y tener una vida digital segura, Santander España también cuenta con un espacio especial en su página web, abierto al público general, con todo lo que los usuarios deben saber para no caer en manos de ciberdelincuentes. En el caso de sus clientes, la entidad tiene además el software IBM Trusteer Rapport, un programa gratuito que proporciona una capa de seguridad adicional para navegar con más protección a la hora de hacer transacciones financieras.

Fuente: Libertad Digital