El término scam (estafa, en inglés) se ha hecho tristemente famoso y es un paraguas que abarca diferentes tipos de técnicas de engaño, como el phishing, el vishing o los fraudes en las citas en línea (también conocidos como romance scams). Estos últimos son muy habituales en redes sociales, donde los estafadores se hacen pasar por lo que parece ser una persona perfecta para ir ganando confianza hasta lograr que su víctima entregue ‘material’ valioso. Conviene recordar que tras todo scam, el objetivo final es económico: el estafador intentará todo tipo de estratagemas para lograr el número de tarjeta de crédito o bien información personal con la que acceder a alguna cuenta del usuario y chantajearle.
Blindarse ante las estafas en internet puede parecer relativamente sencillo, pero la sofisticación de los ciberataques está consiguiendo pillar desprevenidos hasta a los más cautos. ¿Cómo permanecer protegidos ante un ciberataque o estafa telefónica?
La mejor defensa es el sentido común
“Vivimos en una sociedad cada vez más dependiente en la tecnología”, explica Fernando Suárez, presidente del Consejo de Colegios en Ingeniería Informática, “y todo lo queremos para ya”. Según este experto, estas prisas nos hacen hacer clic en vínculos en correos electrónicos y es en esta urgencia sobrevenida donde se baja la guardia. “La mejor defensa es el sentido común, desconfiar y aplicar el espíritu crítico”, explica Suárez, “hay que pensárselo dos veces antes de llevar a cabo una acción en internet”.
Este experto recuerda que los ciberataques mediante scam “son muy baratos y rentables” para quien los perpetra, puesto que en muchos casos se llevan a cabo mediante bots. Este hecho hace que el coste sea muy bajo y la persecución del delito muy compleja, ya que es fácil que “enmascaren su procedencia a través de múltiples saltos por la red, con lo que la persecución de estos delitos jurídicamente es muy compleja”.
Nunca responder ni abrir un contenido de procedencia no clara
Dentro del scam, el phishing es la técnica tristemente más conocida. Tras ella, los atacantes simulan ser un remitente —habitualmente, una gran empresa o banco— para solicitar datos a su supuesto cliente con los que compromete su cuenta. Hay que destacar que en estos ciberataques, el “disfraz” puede estar muy bien confeccionado y a simple vista, resulta muy difícil dilucidar si ese email es, por poner un ejemplo, de Correos o no.
“En la actualidad, la gran mayoría de las estafas se realizan mediante técnicas de phishing, por correo electrónico y SMShing, es decir, phishing por mensajes SMS”, explica a EL PAÍS Federico Dios, experto en seguridad de Akamai. Este experto advierte de la importancia de “nunca responder a esos mensajes ni pinchar en los enlaces que contienen” y la explicación es bien sencilla: “Ninguna organización va a pedir a sus clientes que introduzcan usuario y contraseña a través de ese tipo de mensajes”.
No revelar información personal ni financiera
Antes advertíamos de la creciente sofisticación de los ataques mediante técnicas de scam y un buen ejemplo de ello es lo que han denunciado algunos usuarios de la plataforma de reservas Booking. El blog de viajes Infoviajera recoge un incidente mediante el cual, un viajero, tras haber reservado y pagado una habitación en la plataforma, recibió un wasap aparentemente del hotel reservado. En esta comunicación se le instaba a volver a introducir los datos de la tarjeta al haberse producido un problema en el pago.
En esta sofisticada ingeniería social, la víctima recibe la solicitud desde, presuntamente, un hotel en el que ha efectuado una reserva, con lo que las probabilidades de caer en la trampa son muy elevadas. Los ciberatacantes se aprovechan de la confianza del cliente, que da por sentado que sus datos están a buen recaudo. Desde Booking se ha desmentido la existencia de una filtración de datos en sus servidores, y apuntan a la vulnerabilidad de “un pequeño número de establecimientos” que ha facilitado la filtración de los datos de las reservas. Las víctimas que han logrado evitar los males de este elaborado ciberataque lo han hecho respetando una máxima más vigente que nunca: no revelar jamás información personal ni financiera a través de internet si no es el usuario quien ha iniciado la interacción.
Emplear la biometría (rostro o huella dactilar) para proteger las cuentas
Hasta ahora, se ha hecho una defensa a ultranza (y con sólidas razones) de la sofisticación de las contraseñas: cuanto más largas y complejas, mejor. Sin embargo, son muchas las voces que abogan por una superación de las mismas ¿Y cómo identificar a un usuario de forma inequívoca sin emplear una cadena de caracteres? “Los días de ‘elija una contraseña fuerte’ se han acabado: las contraseñas son demasiado fáciles de comprar, robar o suplantar”, explica a EL PAÍS Brett Beranek, vicepresidente y responsable de Seguridad y Biometría en Nuance, “la seguridad biométrica cierra la puerta a muchas de las mayores tramas delictivas, lo que supone una enorme reducción de las pérdidas por fraude, así como un aumento de la confianza de los clientes”.
¿Cómo puede emplearse la biometría en la actualidad? La mayoría de los móviles de gama media o alta cuentan con sistemas de identificación mediante huella dactilar o facial (el que usa Apple en sus iPhone, ya que no puede ser engañado con una fotografía).
Cuidado con el flirteo en redes sociales
Hemos hecho mención anteriormente a los conocidos como romance scams, o técnicas de estafa que se llevan a cabo mediante el flirteo, y es que este formato de ciberataque fue responsable de unas pérdidas por valor de 1.300 millones de dólares solo en Estados Unidos el pasado año. La Federal Trade Commission (FTC) ha desvelado que en 2020, cerca de 70.000 estadounidenses fueron víctimas de ciberataques mediante esta técnica de seducción. La operativa es simple: los estafadores analizan la información de la víctima en redes sociales y contactan con ella con intención de ganar su confianza y sentar las bases de un posible romance.
En este flirteo, cocinado a fuego lento, algunas víctimas descubren el pastel cuando intentan citarse físicamente con su media naranja y llegan las excusas. La FTC cita estar destinado en el ejército, en el extranjero o incluso en una plataforma petrolífera ubicada en medio del océano, como argucias para esquivar el contacto y seguir alimentando las misivas. Y hay un motivo para desear mantener la llama viva: en algún momento, el atacante aprovechará la confianza establecida para pedir dinero. ¿Cómo? El organismo cita los pretextos más habituales: “me han detenido y hay que pagar una fianza”, “estoy gravemente enfermo y no puedo pagar el tratamiento” o los menos románticos, como “tengo una oportunidad de inversión”. Se trata de estafas que se llevan a cabo durante días o incluso semanas, con lo que las posibilidades de que la confianza derribe la precaución, aumentan.
¿Cómo evitar ser víctima de esta técnica de scam? Al comienzo de la interacción, conviene adoptar las siguientes medidas:
- Comprobar que esta persona cuenta con un perfil en redes sociales, además del sitio mediante el cual ha contactado: los ciberatacantes suelen crear cuentas fantasma con nombres falsos, con lo que es sencillo cotejar la identidad que afirman tener.
- Hacer una búsqueda inversa de las fotos: buscar en Google el nombre y apellido de la persona con la que se está entablando la amistad para buscar coincidencias con las fotos y la de perfil.
- Si pide dinero y tiene un aspecto siempre impecable: por mucho que se pueda llegar a idealizar una relación, tienen que saltar las alarmas si al otro lado del chat se pide a la víctima dinero bajo algún pretexto. De igual manera, tiene que despertar sospechas que esta persona siempre aparezca perfecta en redes sociales: ni una arruga, siempre elegante… vamos, como un modelo.