Los casos de ciberfraude en España han aumentado más de lo habitual en los últimos tiempos.
Bueno, y en todo el mundo.
Así lo informó el Instituto Nacional de Ciberseguridad (INCIBE) hace menos de un mes, centrándose en las campañas de los ciberdelincuentes que cometen estafas de phishing, sniffing y vishing.
Los estafadores intentan convencerle de que son empresas de confianza, como un banco.
Pueden ponerse en contacto con usted por correo electrónico, mensaje de texto o incluso llamarle para hablar con usted.
Se han detectado intentos de fraude entre usuarios del Banco Santander, BBVA, Caixabank y Vodafone.
Hay que dejar claro que, aunque no seas usuario, puedes convertirte en víctima.
El método utilizado por los hackers en estas estafas se basa en la ingeniería social, una estrategia de engaño.
Para evitar ser víctima de un intento de fraude cibernético, le recomiendo que lea este artículo.
Le explicaré algunos términos importantes que debe conocer estos días, así como las estafas más comunes.
Phishing, Sniffing y Vishing: tres términos cuyo significado debe conocer
Para protegerse de los ciberdelincuentes, es importante conocer estos tres términos que se utilizan para las estafas más comunes hoy en día.
Así que ahora explicaré brevemente lo que representa cada uno de ellos.
No son muy diferentes entre sí y son muy fáciles de entender.
¿Qué es el pishing?
Pishing significa que un ciberdelincuente se pone en contacto con usted por correo electrónico y se hace pasar por una institución importante.
Por ejemplo, puede pretender ser un banco.
Para ello, el atacante utilizará una dirección de correo electrónico similar a la del banco que está simulando para que parezca real.
Luego, para atraer la atención de la víctima que recibe el correo electrónico, inserta un objeto importante. Sólo para que no tengan tiempo de pensar demasiado y abran el mensaje.
Por ejemplo, el mensaje puede indicar que su cuenta ha sido abierta por un dispositivo desconocido.
Asocia los mensajes o archivos adjuntos «Haga clic aquí para comprobar» con direcciones web (URL).
Esta es la única parte que un hacker puede asumir, ya que todo depende del usuario o víctima que recibió el correo electrónico.
Los enlaces contenidos en los correos electrónicos son falsos o réplicas de bancos, por seguir con el ejemplo.
Es decir, si introduces tus datos allí, serán enviados directamente al ciberdelincuente porque no es la web del banco real, sino una copia creada por el atacante.
Fishing
Por otro lado, está el smishing, que, como la palabra indica, proviene de los SMS y consiste básicamente en esto.
Los atacantes crean un mensaje pegadizo, como «Has ganado un concurso», y luego un enlace para participar en el concurso.
Obviamente, el enlace es un sitio web creado por un atacante que quiere robar información sobre usted.
Por lo general, contraseñas y datos bancarios, al igual que el phishing.
La diferencia es que en este caso los ciberdelincuentes no envían correos electrónicos, sino SMS en cadena.
Vishing
Por último, está el vishing, en el que se contacta con la víctima por teléfono.
Las intenciones son las mismas que las del smishing y el phishing, es decir, robar información.
A veces, si no en la mayoría de los casos, los atacantes intentan hacerse pasar por una empresa como Movistar.
En la mayoría de los casos, le ofrecerán una oferta muy tentadora para suscribirse al servicio.
Así es como los ciberdelincuentes acceden a todos sus datos bancarios.
Recordatorio:
Tenga en cuenta que estos tres términos son muy similares, sólo cambia el método de comunicación utilizado en la estafa.
Por si no lo sabes, los delincuentes utilizan herramientas gratuitas para llevar a cabo estos ataques que pueden ser fácilmente obtenidas por cualquiera, incluido tú.
Estos ataques suelen realizarse con programas como el «Engineer Toolkit» y sistemas operativos Linux como Kali Linux o Wifisllax.
Estos sistemas y herramientas son utilizados por los expertos en ciberseguridad, por ejemplo para el hacking ético.
Sin embargo, muchos usuarios los utilizan para lo contrario.
Si quieres aprender más sobre conceptos básicos de ciberseguridad, te recomiendo la página web de la Oficina de Seguridad del Internauta.
También puede visitar el sitio web de OFFENSIVE Security, un grupo de ciberseguridad muy destacado a nivel mundial.
Con esta información, no creo que caigas en la trampa de un ciberestafador.
En cualquier caso, veremos algunos ejemplos reales de phishing, sniffing y vishing, que son habituales en España hoy en día.
El caso de CaixaBank.
En este ejemplo, le mostraré cómo es un verdadero intento de phishing en España.
Como ya conoces todos los términos, iré directamente al grano.
En este caso concreto, los ciberdelincuentes envían un correo electrónico que dice ser CaixaBAnk.
Como puede ver en la imagen, el asunto del correo electrónico es «Número de cliente» / Actualizaciones.
En el cuerpo del mensaje, los atacantes te convencen de que tu cuenta está bloqueada y aparentemente añaden un botón a un sitio web falso.
Esta es una copia de la página web de CaixaBank.
Cuando la víctima hace clic en el botón «Haga clic aquí», es redirigida automáticamente al sitio web (la mencionada réplica creada por el atacante).
En este caso, el sitio web falso de CaixaBank tiene la siguiente interfaz:
No hay nada que añadir, ya que la imagen habla por sí misma.
Cuando introduces tus datos de acceso a CaixaBank y haces clic en «Entrar en CaixabankNow», permites que el ciberdelincuente acceda a tus datos bancarios.
Aquí aprenderás cómo funciona la campaña de phishing de CaixaBank, que es muy fácil de entender para que no seas víctima de un fraude.
Estafa del Banco Santander.
Una vez más, los ciberdelincuentes utilizan el phishing para hacerle creer que son el propio Banco Santander. El correo electrónico que utilizan puede ser aleatorio, pero el asunto es «ẞanco Santander».
El mensaje de correo electrónico es el mismo que el de la imagen, en cuyo caso se le informa de la supuesta actualización.
Cuando la víctima accede a la URL maliciosa haciendo clic en «Client Access», es redirigida a la siguiente página web falsa:
Suplantación de identidad por correo electrónico en Santander
Como puedes ver, la página web tiene un aspecto muy realista, por no decir que se parece a la página web real del Santander.
Ya sabes lo que ocurre a continuación: la víctima introduce su identificación y contraseña, que se envía directamente al autor del delito.
La estafa mortal del software del Banco BBVA.
Otro ejemplo de fraude extendido en España es la estafa del BBVA.
En este caso, los ciberdelincuentes optan por ponerse en contacto con la víctima a través de SMS.
El mensaje programado por los atacantes tiene la siguiente o similar redacción.
Así, cuando la víctima accede a la conexión, se encuentra con la interfaz de inicio de sesión del BBVA.
El sitio web es obviamente falso.
En este caso se aplica lo mismo que en los ejemplos anteriores: introduces tus datos y se envían al autor.
Estafas de phishing y vishing de Vodafone.
Otra estafa de la que han sido víctimas muchas personas es la de Vodafone.
En este caso utilizan técnicas de phishing y vishing.
Por un lado, llaman a la víctima, un supuesto empleado de Vodafone que obviamente es un estafador.
A cambio, los atacantes envían a la víctima un correo electrónico alegando que debe la factura.
En el mismo mensaje se adjunta un archivo como «Factura impagada».
Este archivo contiene un grave virus malicioso.
Esto significa que no es un virus que instale una barra de búsqueda en su navegador o que le inunde de anuncios intrusivos.
Se trata de virus informáticos sensibles diseñados para obtener información confidencial de la víctima.
En esta campaña de ciberdelincuencia, se puede ver cómo los atacantes utilizan el phishing y el vishing.
Por un lado, te envían un correo electrónico malicioso para enviarte un virus.
Por otro, se toman la molestia de llamarte y hacerse pasar por un proveedor real de Vodafone.
Así parece más genuino, y cuando te llaman intentan convencerte de que realmente debes la factura y te engañan para que descargues la supuesta factura (virus).
Consejos para evitar todo tipo de estafas en Internet.
Al final de este artículo, me gustaría proporcionarle una lista de sencillos consejos.
Esto le ayudará a evitar estafas similares a las mencionadas anteriormente.
Debes saber que el phishing no sólo se utiliza para los ejemplos que hemos visto.
Muy a menudo, los atacantes utilizan este método para hackear redes sociales como Instagram o Facebook.
Compruebe siempre quién le ha enviado el correo electrónico, es decir, quién es el remitente.
Es posible que el correo electrónico no tenga nada que ver con el banco, como vimos en el ejemplo del Santander.
Preste atención a la ortografía en el cuerpo del mensaje.
En muchos casos, estos correos electrónicos están llenos de errores ortográficos debido a una mala traducción al español.
Piensa durante dos segundos si el mensaje que has recibido tiene sentido, si es un phishing o un sniping.
Si, por ejemplo, el BBVA pide una «actualización», no tiene sentido.
Póngase en contacto con el banco para verificar que efectivamente se trata de una estafa.
Nunca dé información confidencial a un supuesto operador telefónico en las llamadas de vishing.
No siga los pasos para descargar el archivo, como es el caso de Vodafone.
Los sitios web falsos de bancos o redes sociales suelen tener algo que delata su falsedad.
Por ejemplo, no tienen HTTPS, lo que significa que su navegador le advertirá al iniciar la sesión que la conexión no es segura.
Comprueba también la ortografía de la URL, en muchos casos utilizan nombres muy parecidos a los reales, por ejemplo «Faceboook» «Instagram» «BBBVA».
Siempre se puede encontrar un punto débil en los ataques clásicos de phishing.
Estoy seguro de que después de leer este artículo no volverás a caer en la trampa de un ciber estafador.
Si tiene algún comentario o pregunta, déjelo a continuación.