Se acerca el Black Friday, y con él un enorme incremento del tráfico y las compras online. Este año se prevé que el gasto online aumente un 25% respecto al año pasado, según un estudio de la compañía especializada en comercio electrónico Webloyalty. Y con tanto movimiento, los hackers ya lo tienen todo listo para que caigamos en sus trampas.
Aunque habitualmente se asocia el concepto de ciberseguridad con ataques a equipos informáticos, uno de los ataques más comunes que llevan a cabo los ciberdelincuentes es de ingeniería social, es decir, engañar a una persona haciéndose pasar por quien no se es para obtener información privada o dinero. Se sabe que más del 99% de los ataques cibernéticos provienen de la ingeniería social, lo que significa que el ser humano es el objetivo de los atacantes. Según Eduardo Arriols, coordinador académico del área de ciberseguridad en el Centro Universitario U-tad, «en estas fechas, sobre todo en los días próximos al Black Friday y al Cyber Monday, aumentan considerablemente este tipo de ciberdelitos, porque los ciudadanos intentan comprar rápidamente estos supuestos chollos y no revisan adecuadamente si se trata o no de una estafa».
Por este motivo, señalamos los ciberataques más utilizados por los ciberdeliencuentes, cómo identificarlos y qué debemos hacer si recibimos alguno de ellos.
Tiendas online fraudulentas
En estas fechas en las que se utiliza más que nunca el comercio online, los cibercriminales suelen crear aplicaciones web falsas, ya sean tiendas inventadas o copias de franquicias ya existentes, donde el usuario, atraído por ofertas irresistibles y a un precio mucho menor, cae en su trampa. Lo recomendable es siempre asegurarse de que la tienda es legítima, buscando información en Google y, en caso de que sea un nombre comercial conocido, revisar desde dónde y cómo nos ha llegado la información y validarla en Internet. En muchas ocasiones, los hackers envían SMS donde redirigen a la gente a dichas aplicaciones fraudulentas. Asimismo, es importante recordar que no se debe dar nunca el número de tarjeta ni teclearlo en aplicaciones que no sean conocidas.
Phishing
El phishing es una de las técnicas más antiguas y fáciles de realizar por un delincuente. Este ataque consiste en engañar a un usuario haciéndose pasar por una persona, empresa o servicio que inspire confianza. Puede ser un banco, una compañía de servicio de streaming o un familiar. Se crea un mensaje falso que suene convincente y que requiera una acción inmediata. Este tipo de mensajes, además, añaden un link a una página web falsa creada por el atacante con el objetivo de ver todos los datos que se hayan introducido por los usuarios. Este tipo de ciberataque se suele enviar de forma masiva por correo electrónico para que alguien caiga en la trampa. Para no morder el anzuelo, se recomienda acceder al servicio por medio del navegador sin utilizar ningún link que haya en el mensaje.
- Tipos de phishing: cómo reconocerlos y mantenerte a salvo
- Cuidado con el phishing: así intentan robarte tu dinero los ciberdelincuentes
- ¿Qué es el Spear Phishing?
Vishing
El vishing es un ciberataque relativamente reciente que consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa como las que comentábamos anteriormente para obtener información confidencial sobre un usuario. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, si nos llaman desde un banco o cualquier otra compañía pidiéndonos datos personales, por muy urgente que sea el trámite que se deba hacer, lo mejor va a ser colgar y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata.
Sim swapping (duplicado de tarjeta SIM)
Tras haber hecho un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante se hace pasar por una víctima para solicitar un duplicado de su tarjeta SIM. Para conseguir dicha tarjeta, muchas veces es suficiente con llamar a la compañía de teléfono y dar el DNI junto con el nombre completo. Una vez que el atacante se hace con la tarjeta de la víctima, se puede hacer pasar por él/ella en numerosos servicios. Al fin y al cabo, es muy común que un servicio online en el que te tienes que identificar te pida la confirmación por medio de un SMS. Así que hay que tener cuidado con los mensajes de confirmación con un código de seguridad. En caso de que no haya sido solicitado por nosotros, este mensaje no va a ser un error y habrá que llamar a la compañía telefónica para anular el duplicado de la tarjeta.
- Swapping: protégete del ciberdelito que devora las cuentas bancarias
- 3 claves para evitar ser víctima del SIM Swapping: un ciberataque que roba tu identidad de usuario
- ¿Sabes lo que es el SIM Swapping y los riesgos de seguridad de tu tarjeta SIM?
Robo de identidad aprovechándose de una filtración de datos
Periódicamente los ciberdelincuentes suelen encontrar fallos en algunos sitios web que les permite obtener cuentas de usuario y contraseñas. Estos datos los suelen vender o publicar por Internet, de tal manera que, pasado un tiempo de esa filtración, otro atacante que no tenía nada que ver con el ataque original, prueba a iniciar sesión con el usuario y contraseña filtrados y se hace pasar por la víctima. Para protegerse de este tipo de ataques, es recomendable crear una contraseña diferente para cada sitio. Otra medida muy importante es comprobar si la dirección de correo electrónico ha sido filtrada en alguna fuga de datos producida anteriormente. Para ello, hay que dirigirse a la página web https://haveibeenpwned.