Desde IA hasta regalos falsos: las estafas con las que van a intentar robarte estas Navidades

Si no quieres correr más riesgos de los necesarios en estas fechas, es importante que tengas claro cómo los delincuentes te van a atacar. O, al menos, cómo se espera que lo hagan.

«Los consumidores deben permanecer muy atentos y comprobar la validez de los correos electrónicos que reciben, especialmente en fechas festivas en las que podemos bajar la guardia, porque podrían poner en riesgo sus datos y dinero, así como ser infectados con malware, entre otras consecuencias de la sofisticada ingeniería social que emplean los ciberdelincuentes en la actualidad», señala en un comunicado Fernando Anaya, country manager de la empresa de ciberseguridad Proofpoint.

La inteligencia artificial (IA) generativa ha asombrado al mundo en los últimos meses con sus capacidades. A pesar de que puede ser una buena herramienta que permite mejorar la productividad, también puede ser empleada con fines maliciosos.

Mediante esta tecnología, se puede cambiar el proceso de elaboración de correos electrónicos de tipo 'phishing' que usan como gancho una oferta o promoción, algo muy frecuente en esta época del año, al igual que los avisos sobre envíos falsos de mensajería, ya que mucha gente está pendiente de diferentes paquetes que han pedido o enviado.

Para intentar determinar si un correo es una estafa, el usuario debe comprobar si el mensaje que recibe es genérico o personalizado, si piden información confidencial aparentemente innecesaria o pagos urgentes, además de si coincide el nombre del remitente con la dirección.

Asimismo, la IA generativa podría aumentar la verosimilitud de las amenazas en las que los atacantes incitan a las víctimas por teléfono a realizar acciones que no son seguras. Por ejemplo, si un correo generado por inteligencia artificial consigue imitar de forma creíble a una empresa legítima, es mucho más probable que la víctima marque el número de teléfono al que se le dirige.

La IA generativa también podría permitir ampliar las estafas navideñas a escala mundial. Antes los ciberdelincuentes carecían de conocimientos culturales o lingüísticos para dirigirse a distintas poblaciones, pero ahora podrían utilizar herramientas de IA de acceso libre para investigar rápidamente qué puede funcionar y crear señuelos localizados. Con todo, habrá que desconfiar si el teleoperador sigue un guion, presiona para realizar una acción o habla con un acento propio de una región en donde suele haber centros de llamadas fraudulentos.

La omisión de la autenticación multifactor (MFA), que obliga al usuario a añadir un segundo código para poder entrar en una plataforma digital, como sería su cuenta bancaria, fue muy popular el año pasado, y el número de señuelos que utilizan esta técnica sigue aumentando. En ella, el atacante roba las credenciales de la cuenta interceptando el código MFA cuando la víctima lo teclea en una página de inicio de sesión de cuenta que es falsa o está comprometida.

Las empresas envían muchos mensajes de confirmación de pedido y notificaciones de envío durante las fiestas, y los destinatarios entran más frecuentemente en sus cuentas de UPS, FedEx o DHL, porque quieren que los paquetes navideños lleguen a tiempo. Es probable que los atacantes aprovechen este aumento del tráfico y estos comportamientos de los consumidores en sus correos de 'phishing' para dirigir a los usuarios a sitios web en los que interceptarán y capturarán las credenciales MFA.

Prevenir el robo de credenciales pasa por no hacer clic en enlaces de correos y mensajes de texto no solicitados o inusuales. Si se quiere confirmar una compra o un envío, hay que ir directamente a una fuente legítima escribiendo la dirección del sitio web o llamando a un número de contacto conocido.

Las tarjetas regalo son una opción muy popular y cómoda, incluso para los ciberdelincuentes. Por ello, son una amenaza constante que se intensifica en época de fiestas. Este ataque por correo es una táctica de ingeniería social en la que los atacantes se hacen pasar por un ejecutivo de alto nivel que busca ayuda para hacer un regalo navideño a sus empleados.

Todo comienza con un breve mensaje de texto o email para tantear la receptividad de la víctima, pedirle después que compre tarjetas regalo de gran valor con fondos de la empresa o que pague por adelantado con la promesa de un reembolso.

De esta manera, se le intenta engañar para que envíe los números de las tarjetas regalo y los PIN para desbloquearlas. Estas estafas suelen parecer creíbles, porque aprovechan la confianza de las relaciones personales y profesionales, jugando con las emociones de la víctima de sentirse orgullosa de ser contactada por un directivo o de formar parte de algo positivo que puede hacer felices a los demás. Lo recomendable, en este caso, es ponerse en contacto con el supuesto remitente a través de otro canal para verificar y validar estos trámites.

Los ciberataques están diseñados para aprovecharse de las emociones de la gente, y las estafas relacionadas con donaciones benéficas son un buen ejemplo de ello. Los atacantes crean falsas empresas sin ánimo de lucro o sitios web que imitan a conocidas organizaciones benéficas para emails de 'phishing' que año tras año siguen teniendo éxito.

En estas fiestas, es probable que los agresores utilicen peticiones conmovedoras de donaciones para donar alimentos o ayudar a personas que necesitan cobijo durante el invierno. También es probable que los ciberdelincuentes den un giro a sus campañas utilizando temas de actualidad como señuelo, aprovechándose de situaciones humanitarias, catástrofes naturales y conflictos. Los atacantes utilizarán todos los canales a su alcance para desplegar tácticas similares en llamadas telefónicas, redes sociales, material impreso y anuncios.

La mejor manera de evitar a los impostores es trabajar directamente con organizaciones benéficas legítimas y establecidas, tecleando su dirección web en el navegador para contactar con ellas, en lugar de hacer clic en enlaces de donación de un mensaje no solicitado.

En fechas señaladas en las que aumenta el consumo, como los días previos a Navidad, la protección del correo electrónico ante mensajes no solicitados o maliciosos cobra todavía más importancia. Si no hay protección adecuada, los estafadores pueden suplantar la identidad de conocidas marcas o plataformas de ecommerce e intentar engañar a sus clientes con correos de phishing con falsas ofertas o avisos de disponibilidad de artículos.

Recientemente, Proofpoint ha realizado un análisis entre las 20 mayores tiendas online en España con el objetivo de conocer si tienen implementado DMARC, un protocolo ampliamente reconocido que protege los nombres de dominio de la suplantación de identidad por parte de los ciberdelincuentes. Los resultados revelan que el 90% ha adoptado algún nivel de DMARC, frente al 75% registrado en 2021. En estos dos años también se ha endurecido esta medida de seguridad entre los retailers: con un 65% implementando DMARC en su nivel más estricto y recomendado en 2023 respecto al 35% de 2021.