Desde robos de WhatsApp hasta suplantación bancaria: las estafas a las que debes prestar atención en 2021

«Esperamos que en 2021 las ciberestafas suban más. Todos pensábamos que la realidad de la pandemia cambiase durante este año, pero la realidad es que todavía hay muchas restricciones de movilidad y seguimos pasando mucho tiempo conectados a internet. Además, en estos momentos muchas empresas están pensando en institucionalizar el teletrabajo o dejar a una parte importante de su plantilla cumpliendo con sus obligaciones desde casa», explica a ABC Luis Corrons, evangelista de seguridad de la empresa informática Avast.

Corrons hace hincapié en que el 'modus operandi' de un cibercriminal que intenta robar los datos de un usuario suele ser siempre el mismo. Y pasa por el uso de ingeniería social para causar cierto pavor y urgencia en la víctima : «La técnica siempre se basa en asustar a la gente. Convencerla de que entregue sus datos. La identidad online cada vez es más importante para todo el mundo, todo está en la red, nuestras redes sociales y cuentas bancarias, y son susceptibles de ser robadas».

En caso de que consiga su objetivo, y robe alguna cuenta de redes sociales o información bancaria, no pasará mucho tiempo antes de que comience a explotarla . Aunque no tiene por qué ser el cibercriminal que la ha conseguido el encargado de hacerlo. «Normalmente vende la información que ha extraído. Hay grupos especializados que se dedican al robo de datos. Tras esto lo venden a terceros para que los moneticen. Son delincuentes especializados, por ejemplo, en vaciar cuentas bancarias», apunta el evangelista de seguridad de Avast.

Normalmente, este tipo de ataques s uele realizarse a través de correo electrónico . Sin embargo, expertos consultados por ABC destacan que el empleo de otros medios, como el SMS o la llamada telefónica llevan meses creciendo.

«Las ciberestafas son muy sencillas de realizar. No requieren grandes conocimientos. El 'smishing' (a través de SMS) también está aumentando. Incluso las llamadas falsas desde supuestos centros de soporte. WhatsApp es un vector que también se está utilizando. El correo electrónico, de todos modos, seguirá siendo el más empleado. Lo que tiene es que te permite llegar a una gran cantidad de personas de forma rápida», explica a este diario Dani Creus, jefe de análisis de la empresa de ciberseguridad Kaspersky.

Los casos en los que los cibercriminales se hacen pasar por empresas de mensajería son bastante frecuentes desde hace años. Sin embargo, por culpa del confinamiento, este tipo de estafas ha ido en aumento. Durante los últimos meses, hemos visto casos en los que se producen a través de SMS y otros en los que llega por correo electrónico. Hace algo más de un mes, la empresa de ciberseguridad ESET alertó sobre un mensaje de texto en el que los ciberdelincuentes, suplantando a Correos , indicaban al receptor que tenía un envío de camino. Además, iba acompañado por un hipervínculo que redirigía al usuario a una página web para -supuestamente- realizar el seguimiento del paquete. Una vez en el sitio, se le pedía que instalase una aplicación . Sin embargo, en realidad lo que la víctima instalaba era un virus informático.

Asimismo, Kaspersky llamó la atención el pasado diciembre sobre una c ampaña de 'emails' maliciosos en los que un grupo de cibercriminales, haciéndose pasar también por Correos , intentaban robar datos al internauta. Entre ellos los de la tarjeta de crédito.

La suplantación de organismos públicos en la red ha pegado un repunte en los últimos meses gracias a la pandemia. Los cibercriminales han aprovechado la situación para hacerse pasar por instituciones , como la Agencia Tributaria , para engañar al internauta informándole, supuestamente, de la decisión de su empresa de convocar un ERTE. Recientemente, el Instituto Nacional de Ciberseguridad (Incibe) informó sobre una campaña de correos maliciosos en los que los cibercriminales se hacían pasar por Hacienda para 'hackear' los dispositivos de la víctima y, de este modo, tener acceso a su información personal y bancaria. En este caso, los criminales intentaban asustar a la víctima afirmando que esta tenía pendiente de envío un documento sobre la declaración de la renta.

Suplantar a una entidad bancaria, o servicios pensados para el pago, como Paypal, es una de las herramientas más empleadas por los criminales para robar el dinero al internauta. Precisamente la semana pasada Incibe informó a través de sus redes sociales sobre una campaña en la que los delincuentes se hacían pasar por varios bancos, como ING y Bankia . En este caso, los criminales emplean correos en los que se afirma que la cuenta corriente de la víctima ha sido bloqueada y se solicita que haga clic en un enlace para aportar toda su información bancaria.

Algo que, como explica Eusebio Nieva, director técnico de Check Point, no hace ningún banco en el mundo: «Un banco nunca te va a informar a través de un correo electrónico de que te ha cerrado la cuenta. En caso de duda, antes de hacer nada, debemos ponernos en contacto con la entidad a través de otro medio. Nunca respondiendo directamente al correo electrónico original».

WhatsApp atesora una cantidad enorme de información sobre un usuario. Además, si un criminal consigue robar una cuenta, puede suplantar a la víctima y atacar a otros contactos . Tanto el Instituto Nacional de Ciberseguridad como varias empresas dedicadas a la defensa en internet han alertado durante los últimos meses sobre el aumento en el número de estafas del código de 6 dígitos . En estos casos, los cibercriminales se hacen pasar por el servicio técnico de WhatsApp y solicitan al internauta que comparta un código de seis dígitos que va a recibir a través de SMS. El problema es que esos números conforman el código de autenticación de la 'app' de mensajería, por lo que, en caso de que se entreguen, el usuario perderá el control de la cuenta .

«El delincuente tendría la capacidad de suplantar a la víctima y, a través de sus contactos, empleando ingeniería social, acceder a mucha más información, como sus claves para otros servicios», explica a este diario el director de la consultora informática Securízame, Lorenzo Martínez. Para evitar los riesgos lo primero que se debe hacer es no compartir a la ligera cualquier información que solicite un usuario. Y esto también vale en los casos en los que la cuenta que los solicita es conocida, ya que hay variantes de esta estafa en las que un criminal, después de haber robado una cuenta, ataca a sus contactos empleando la misma técnica . Asimismo, se debe activar la verificación en dos pasos de WhatsApp, que permite que el usuario tenga una clave extra que es obligatorio aportar cada vez que descarga la aplicación en un nuevo dispositivo.

El comercio online se ha disparado en tiempos de pandemia. Por eso no es raro que, cada vez con más ahínco, los cibercriminales estén intentando suplantar a empresas reconocidas a través de internet. Según la empresa informática Webroot, la ciberestafas en las que los ciberdelincuentes suplantan a Amazon aumentaron un 106% durante el último Black Friday en comparación con los datos del año anterior. Como suele ocurrir, los tipos de estafa que emplean los cibercriminales cuando suplantan al gigante creado por Jeff Bezos, o a otras compañías que operan en internet, son muy variables.

En ocasiones te envían un correo con un justificante de un pedido que no has realizado . Este mensaje puede ir acompañado de un hipervínvulo que redirige a una página web en la que se suplanta a la empresa y se solicitan datos personales y bancarios. También hay versiones en las que se notifica que se ha detectado actividad sospechos en la cuenta y, por ello, ha sido bloqueada. Sea como fuere, el objetivo siempre es el robo de datos o la infección del dispostivo del internauta mediante el empleo de virus informático.

El 'vishing', que es como se denomina a las ciberestafas en las que los ciberdelincuentes suplantan a una compañía o institución a través de una llamada telefónica, lleva meses creciendo. Entre las compañías más afectadas por su uso se encuentra Microsoft . El mes pasado la compañía alertó mediante un comunicado, que fue remitido a ABC, sobre el aumento de los casos . «En dichas llamadas aseguran ser técnicos informáticos de la compañía que quieren comprobar y arreglar una supuesta incidencia técnica en sus ordenadores. Los delincuentes instan a las personas a las que llaman a instalar programas con los que consiguen el control de sus equipos y poder acceder a su información personal y financiera», expresaban desde la tecnológica estadounidense.

La empresa hace hincapié, a su vez, en que «nunca envía proactivamente mensajes de correo, ni realiza llamadas de teléfono para ofrecer soporte técnico o solicitar información personal o financiera de ningún usuario». A su vez, destaca que «el soporte técnico de Microsoft solamente se pone en contacto con aquellos usuarios que lo hayan solicitado previamente, a través de los canales establecidos por la compañía».

Otra artimaña bastante popular durante los últimos años y que sigue en auge. Para robar una cuenta de una red social, como Instagram o Facebook, el criminal s uele recurrir al envío de correos en los que se suplanta a la compañía . En ellos se informa alguna violación de derechos de autor o se notifica que te van a bloquear o eliminar la cuenta. Tras esto, te redirigen a una página falsa que simula ser la de Instagram y te piden los datos de acceso. Si rellenas tu usuario y contraseña, entregas los datos directamente a los ciberdelincuentes. El objetivo de los estafadores, como señalaba el evangelista de seguridad de Avast, es revenderte la cuenta que te han robado (en caso de que tengas muchos seguidores) o ofertarla en la 'dark web' .

Asimismo, el Instituto Nacional de Ciberseguridad alertó hace una semana sobre un aumento en el número de casos de suplantación en Instagram . Según afirmó, los cibercriminales estaban copiando a cuentas con muchos seguidores que, en el momento del robo, estaban realizando algún tipo de sorteo a través de la red social. Tras crear la cuenta fraudulenta en la misma plataforma, los ciberdelincuentes comenzaban a solicitar amistad a los seguidores del perfil legítimo y les envíaba un mensaje directo informándoles de que han sido ganadores del sorteo. «En el mismo mensaje también se informa de que para hacer efectivo el premio, deberán seguir las instrucciones que se indican en el enlace que facilitan», apuntaban desde la institución.

Este enlace enviaba a los usuarios fuera de la red social a un formulario o página web fraudulenta que, dependiendo de la sofisticación, podría incluir información del sorteo original. Allí se solicitaban datos personales y de la tarjeta de crédito de la víctima. En caso de que el usuario caiga en la trampa y entregue estos datos, acabarán en poder de los ciberdelincuentes.