Los ciberdelincuentes no se toman descansos: esta época es una oportunidad inmejorable para cazar desprevenidos. Cómo protegerte

En vacaciones, se suele «bajar la guardia» y entregarse al descanso tan esperado. Los ciberdelincuentes lo saben. Y ponen en marcha ingeniosas estrategias para robar el dinero a los desprevenidos.

En este sentido, el ingeniero Pablo Rodríguez Romeo, Perito Informático Forense, especialista en Seguridad y Socio del Estudio CySI», confía a iProUP que «las técnicas se agudizan y lo que se planearon como unas vacaciones perfectas se convierten en un verdadero dolor de cabeza«.

«Si bien los engaños son los de siempre, lo que cambia es el motivo: alquileres, regalos por correo, estafas a través de billeteras virtuales. Los ciberdelincuentes estudian a los usuarios, conocen sus usos y costumbres, analizan lo que están buscando en Internet. Todo esto es lo que los hace tan eficientes a la hora de concretar el ataque», completa.

La web, el correo, WhatsApp: todo se convierte en una oportunidad, por eso es fundamental estar atentos a lo que se recibe, por dónde se navega y en qué lugar se comparten los datos personales.

«Es muy importante que los usuarios sean conscientes de los riesgos a los que se exponen cuando usan Internet y la información que ingresan en sitios web«, plantea el experto.

En alerta

Sol Gonzalez, Security de ESET Latinoamérica, asegura a iProUP que si bien los escenarios son diversos, lo que sí se puede afirmar es que los cibercriminales operan según el contexto de la época: «Saben que la forma más sencilla de llegar a sus víctimas es a través de campañas de phishing«, indica, en referencia a mensajes fraudulentos que copian la estética de una empresa real.

Según la experta, «los delincuentes en época vacacional buscan realizar campañas referidas a la temática de vacaciones, como promociones en hoteles y pasajes, con enlaces maliciosos que invitan a la víctima a ingresar sus datos o incluso ejecutar algún malware».

En este escenario, Luis Corrons, Security Evangelist en Avast, enumera para iProUP otra serie de estafas muy comunes:

• Alquileres de vacaciones falsos: el mecanismo comienza con imágenes atractivas de una propiedad en una ubicación deseada. El dueño falso pide un depósito por adelantado sobre el alquiler mediante transferencia bancaria. Cuando la familia llega al destino, descubre que la propiedad no no existe
• Paquetes de vacaciones falsos: un correo electrónico o una llamada telefónica de un operador de viaje le cuenta al usuario que ganó un crucero a una isla de ensueño. También exige pagar un depósito para reservarlo. Luego, se descubre que el paquete fue tergiversado y debe pagar tarifas adicionales para obtener la «gran oferta»
• Pasajes de avión gratis: la tarifa aérea representa gran parte de los costos de las vacaciones, por lo que recibir un descuento siempre es bienvenido. Pero el estafador indica que la tarjeta de crédito fue rechazada, por lo que debe abonar mediante transferencia bancaria, dejando a la víctima sin boletos ni forma de reclamar el reembolso

Federico Romanin, Director de Riesgos para Latinoamérica de Fiserv, revela a iProUP: «Las estafas más comunes son los fraudes con tarjetas físicas, ya sea copia, clonación y robo de datos«.

En cualquiera de estas metodologías, los delincuentes se aprovechan de:

• Desatención y el apuro: realizan preguntas para obtener respuestas con datos sensibles
• Excesiva confianza: la víctima entrega datos no necesarios
• Dificultades económicas: interés por concursos, promociones o premios «excesivamente buenos»

El objetivo: acceder a los datos para tomar control de sus credenciales, tarjetas, cuentas bancarias, cuentas de redes sociales. Con esta información, solicitan productos bancarios, préstamos, compras, transferencias o extracciones a nombre y cargo del damnificado.

Otro punto a tener en cuenta es que los turistas comúnmente necesiten acceso a wifi en una red pública. En muchos casos, además de arriesgar su propia seguridad también ponen en peligro la de la empresa para la que trabajan, si usa los mismos dispositivos que en su jornada laboral.

«Las personas se conectan en una red sin seguridad en la que otros usuarios y posibles actores maliciosos pueden ver la navegación e infectar su dispositivo. Si existen datos corporativos en el dispositivo infectado ya existe un gran problema«, afirma a iProUP Renato Marchi, Sales Engineer para Latinoamérica Sur de WatchGuard.

Otro problema es cuando este usuario regresa de sus vacaciones y conecta este equipo en la red corporativa: «Puede ser que esté infectado por un malware que busca otros equipos para instalarse en ellos, extendiéndose a cada vez más equipos».

De esta forma, sigue el ejecutivo, puede darse un «ataque directo de malware avanzados o de día cero, que pueden infectar fácilmente un dispositivo que no cuente con una solución de seguridad avanzada, como un firewall».

Si la oferta es demasiado buena para ser real, seguramente no es real

Los actores maliciosos se aprovechan de la bondad del usuario o piden algo con urgencia haciéndose pasar por otra persona, modalidad conocida como phishing. «¿Cuántos de nosotros hemos recibido un correo, SMS o Whatsapp que indica que el servicio X expirará pronto o que hay problemas con nuestro banco o sitio web, acompañado por un enlace para hacer clic?», plantea Marchi.

Añade que «la mayor parte de las veces estos mensajes son un phishing enviado por un ciberdelincuente haciéndose pasar por una empresa o persona. Una vez que ingresamos en el sitio fraudulento, registra nuestras credenciales del sitio real, instala un malware en el dispositivo o roba datos personales para realizar un ataque a un tercero simulando ser vos mismo».

La vocera de ESET coincide en que «muchos viajeros apresurados sucumben ante tentadoras rebajas en viajes y estadías que les llegan vía correo electrónico, WhatsApp o incluso redes sociales».

Señala que «los cibercriminales mantienen el mismo esquema de campañas de phishing en rasgos generales. Utilizan alguna falsa oferta de paquetes de vacaciones o promociones de hospedaje como ‘anzuelo’, ofreciéndole a la víctima que acceda a un link puntual, que complete sus datos personales y hasta que ingrese una tarjeta de crédito«.

«De esta manera, el cibercriminal podrá suplantar la identidad digital de la víctima para sustraer sus fondos bancarios. Estas campañas no solo se limitan a emails, sino que también se realizan a través de un mensaje de WhatsApp con el enlace de una URL maliciosa«, detalla González.

Demasiado bueno para ser verdad

Las estafas en redes sociales, como la de Southwest Airlines que circuló por Facebook durante años, atraen a los viajeros a sitios web maliciosos con sorteos que ofrecen pasajes de avión gratis.

«Se sabe que este tipo de estafa también propaga malware de ‘robo de vida’. Eso le da a un pirata informático el control de su perfil para que los mensajes virales se propaguen a las cuentas de sus amigos. Para protegerse, hay que tener en cuenta que, si es demasiado bueno para ser verdad, lo más probable es que no lo sea«, aconseja Corrons.

Por su parte, Rodríguez Romeo enumera los siguientes hábitos de seguridad para evitar ser estafado:

• Estar alerta ante los mensajes que llegan por mail e inspiran alguna desconfianza. Prestar especial atención al remitente e información que solicitan y nunca responder con datos personales o información sensible
• No pulsar ningún hipervínculo desde el cuerpo del mail: siempre ingresar tipeando la página a la que se quiere acceder. Corroborar que comience con el protocolo de seguridad https (el navegador mostrará un «candadito» en la barra de direcciones)
• No brindar información sensible ante un contacto por chat (ya sea Whatsapp, Messenger o redes sociales). Antes, corroborar el pedido
• Desconfiar de los contactos apresurados cuando provienen de servicios de mensajería. Sobre todo si solicitan acudir al cajero, cambiar contraseña o ejecutar una transferencia. También dudar de las promociones grandilocuentes, los regalos ridículos y la solicitud de datos personales
• Contar con contraseñas seguras, difíciles de adivinar y siempre activar el segundo factor de autenticación
• Contar con un antivirus actualizado en los dispositivos de uso diario
• Configurar la privacidad de las redes sociales para que no se publiquen datos personales
• En el caso de haber caído en el engaño, comunicarse inmediatamente con la entidad con la que se opera. Luego, realizar la denuncia ante las Fiscalías de Ciberdelito

En tanto, Romanin añade las siguientes recomendaciones:

• No perder nunca de vista la tarjeta al realizar pagos en los establecimientos
• Al operar en cajeros, bloquear la visión del teclado al ingresar el PIN
• Revisar que no haya presencia de elementos «extraños» en el terminal
• Mantener un control periódico de las operaciones realizadas

Por último, el ejecutivo de Avast agrega a la lista:

• Investigar empresas y sitios web antes de comprar, sin importar cuán urgente pueda parecer la oferta ni o cuánto se desee el artículo o servicio.
• Leer la información corporativa, términos de la prestación y política de privacidad del sitio web
• Al abonar, hacerlo con tarjeta de crédito, ya que son mucho más seguras que las de débito y las transferencias bancarias

«Es importante estar atento a las mensajes y correos que recibimos y no hacer clic en ningún enlace enviado por un contacto desconocido. Siempre hay que confirmar que quien envió un mensaje es la persona que dice ser», asegura Marchi.

El experto además recomienda usar el 4G en el celular antes que un WiFi público para operar en el home banking, por ejemplo. «Es clave tener un servicio de VPN de un proveedor de confianza para que un hacker no vea los datos en una red pública y dificulte la infección del dispositivo», concluye.

f: IProfesional