Phishing, ransomware y sextorsión son algunas de las tantas formas de engaño digitales que crecieron en el último tiempo. Cómo son las formas de ataque y qué medidas de precaución se pueden tomar.
lega por WhatsApp un mensaje con una promoción para obtener importantes descuentos en un producto. Para lograr la ansiada recompensa se nos invita a ingresar en un link que nos remite a lo que parece ser la página de inicio de Instagram. El paso siguiente es iniciar sesión en esa red social. Así lo pide el sistema y solo así conseguiremos ese beneficio. Pero… resulta que todo es una trampa para obtener nuestras credenciales de acceso.
1. Phishing
Esta es una de las tantas trampas a las que pueden recurrir los ciberdelincuentes para obtener datos personales. Se trata de la técnica conocida como phishing, que se basa en técnicas de manipulación para acceder a datos confidenciales.
El 29% de los ciberataques registrados en 2021 en América latina surgieron a raíz de credenciales robadas. Esto está relacionado con los ataques de phishing que se realizan para obtener estos datos, según se indica en un informe publicado este año por IBM.
¿Qué hacer para evitar caer en estos engaños? Martín Oettel, consultor en ciberseguridad y fundador de PasandoData, comparte los siguientes consejos:
- Nunca debemos brindar datos personales como claves, números de tarjeta, CBU, tokens, por ninguna vía.
- Si el mensaje proviene de un remitente desconocido debemos desconfiar y jamás abrir archivos adjuntos que nos hayan enviado.
- Es conveniente revisar de la URL, cuál es el dominio que figura, para determinar si es el original o no. El candado o HTTPS que aparece no es sinónimo de que el sitio es el real. Indica que la comunicación entre el dispositivo que se está utilizando y el servidor se realiza de forma cifrada. En la actualidad, las páginas falsas que tienen los ciberdelincuentes cuentan con el HTTPS para simular ser más creíbles.
Por lo tanto, la clave está en no abrir archivos adjuntos ni seguir un link que esté en un mensaje; si nos piden algo que requiere acceder a un sitio o servicio, tenemos que llegar a él manualmente, es decir, por las nuestras; por ejemplo, tipeando la dirección web, ya que una búsqueda en Google también puede traer resultados problemáticos.
2. Ransomware
El ransomware es un programa malicioso que cifra los archivos en la computadora infectada y los vuelve inaccesibles. Los atacantes luego le piden a la víctima el pago de un rescate (por lo general, en criptomoneda) para liberar los documentos secuestrados. WannaCry es uno de los ransomware más conocidos por el alcance que tuvo: el 17 de mayo de 2017 se propagó por internet y cifró los archivos de datos de usuarios en más de 150 países.
“Los ataques de phishing y de ransomware son un clásico. Sin duda continuarán persistiendo debido a la gran efectividad que tienen y el relativo poco esfuerzo que le requiere al atacante poder efectuarlos”, advierte la especialista en seguridad informática Sheila Berta.
Según un estudio de Accenture publicado en noviembre de 2021, los ataques de ransomware crecieron un 100% a nivel mundial en los últimos 2 años.
“Es importante mantener siempre el sistema operativo y el software que usamos actualizado en todos los dispositivos para evitar que los ciberdelincuentes aprovechen las vulnerabilidades e infiltren su red”, recomienda Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky. A su vez, sugiere realizar siempre copias de seguridad de los archivos más valiosos y dejarlos offline, para que no puedan ser manipulados por los delincuentes.
Advierte además que “nunca se debe pagar el rescate, ya que el hacerlo no garantiza que recupere sus datos; por lo contrario, esto alentará a los delincuentes a continuar con su negocio”. Hay que hacer la denuncia en la fiscalía, policía u organismo de aplicación de la ley correspondiente, según el país.
3. Suplantación de identidad
Tras el robo de credenciales por medio de mecanismos como el phishing, los ciberdelincuentes pueden utilizar sistemas de home banking, o los perfiles en redes sociales para hacerse pasar por la persona que es dueña de esas cuentas robadas. Esta suplantación de identidad se emplea luego para sacar créditos bancarios, adquirir productos online o hacer cualquier otro tipo de acciones que el atacante desee.
“Como regla general, cuanta menos información podamos publicar en internet sobre nuestra persona mejor será, ya que así no le daremos tanta ventaja al delincuente para usurpar nuestra identidad”, recomienda Oettel.
Otro punto importante es cuidar la huella online. “Suele ser muy útil buscarse en la web con diferentes buscadores (DuckDuckGo, Yandex, IDcrawl) para verificar qué datos hay sobre nuestra persona”, advierte el especialista. Google habilitó hace poco una herramienta para eliminar contenido sensible (como nuestro CUIT o CUIL) de los resultados.
Es importante emplear diferentes claves para cada uno de los servicios empleados y activar el segundo factor de autenticación que añade una capa extra de seguridad. Una vez activada esta opción, aun cuando el ciberdelincuente obtenga la clave, no podrá ingresar porque el sistema pedirá que se escriba un PIN que se obtiene por diferentes medios, por ejemplo una app de terceros como Google Authenticator, para validar la identidad.
De la misma forma, hay que evitar usar el SMS como sistema de autenticación, ya que una de las estrategias de suplantación de identidad consiste en hacer el SIM Swapping: pedir una nueva SIM a nombre nuestro, dejarnos sin línea y usar el nuevo chip para acceder al WhatsApp y validarse a nuestro nombre en varias redes.
4. Sextorsión y acoso de menores
En los casos de sextorsión, el ciberdelincuente amenaza a la víctima con difundir fotos o videos íntimos suyos, salvo que se abone una suma de dinero. El delincuente puede obtener ese contenido de diferentes modos o, por supuesto, mentir y jugar con el temor de su víctima.
En algunos casos, por medio de un perfil falso, el atacante contacta a la persona para intercambiar material y una vez que lo tiene en su poder amenaza con publicarlo, salvo que se cumpla con el pago solicitado.
“También puede hacerse del contenido, accediendo ilegalmente a la cuenta de almacenamiento en la nube de la víctima o si se tiene acceso al dispositivo que las guarde. Son pocos los casos, pero también podría tener control de la cámara del equipo y lograr capturar imágenes de la persona”, enumera Oettel.
En ocasiones, los menores son víctimas de diferentes formas de acoso online. Muchas veces el atacante le hace creer a la víctima que tiene su misma edad, entablan una amistada virtual y cuando se ganan su confianza, le pide el envío de alguna foto íntima.
Una vez que la víctima cae en el engaño, los extorsionan de diversas maneras. En ocasiones les piden tener un encuentro en persona para evitar difundir ese material. Como el menor se encuentra agobiado por la situación, puede caer en el error de ir al encuentro y esto puede derivar en otro tipo de riesgos.
Desde la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), comparten algunos consejos a la hora de usar redes sociales que pueden ayudar a minimizar este y otros riesgos:
- Establecer amistades confiables y seguras, disminuye las posibilidades de relacionarse con perfiles falsos o peligrosos. En este sentido, sugieren que para iniciar una conversación por chat se sepa fehacientemente con quién se está hablando y si eso no es posible, al menor, tomar la mayor cantidad de precauciones en la información que se brinda.
- “Enviar fotos íntimas a tus amistades o contactos es una decisión personal, pero puede generar una exposición no deseada. Alguien puede divulgar tus imágenes a otras personas y perjudicarte”, advierten desde la página oficial de dicha entidad.
En cuanto al cuidado que hay que tener para evitar que los menores caigan en este tipo de situaciones, desde la fiscalía comparten estas otras recomendaciones:
- Dialogar acerca del uso de la tecnología en el hogar, y generar espacios de confianza y respeto para compartir experiencias.
- Conocer las actividades de los niños y niñas en internet (qué aplicaciones descargan, qué páginas visitan, qué redes sociales integran, entre otros).
- Activar todas las herramientas de seguridad y privacidad que tienen las distintas redes sociales.
- Desarrollar una actitud positiva y responsable durante el uso de internet en la casa.
5. Cripto-estafas
“Las billeteras criptográficas se han convertido en el objetivo de numerosas actividades maliciosas y de estafa, que incluyen no solo páginas de phishing disfrazadas de las billeteras más populares, sino también malware distribuido a nombre de ellas”, explica Assolini.
En estos casos, es clave sospechar de los mensajes que llegan por diferentes vías solicitando información personal con diferentes excusas, como promesas de inversiones con importantes retornos.
Antes de hacer cualquier inversión es importante asesorarse con personas especializadas en la materia. Y luego adoptar siempre todas las medidas de ciberseguridad mencionadas anteriormente para proteger las cuentas y los dispositivos.
NotiVeraz