En los últimos años, las estafas online se han disparado y sofisticado. Este crecimiento se explica por una combinación de factores tecnológicos, sociales y económicos. Para combatir eficazmente este problema, es necesario aumentar la conciencia de la ciudadanía sobre los riesgos en línea, así como mejorar la seguridad cibernética para afrontar el vishing, el smishing o el phishing.
El motivo por el que actualmente se siguen realizando estafas online de este tipo es sencillo. Son muy baratas de ejecutar (sólo necesitas un enviar correos electrónicos) y hay muchos usuarios susceptibles de convertirse en víctima. De entre todas las estafas que se realizan a través de internet, seguro que has oído hablar de estas tres: vishing, smishing y phishing.
Estas son las estafas al alza en España
Según el portal especializado Sello Legal, actualmente, hasta un 90% de las empresas se encuentran en peligro de sufrir un ataque de phishing este año. Las cifras no hacen más que subir y es que cada vez somos más los consumidores que utilizamos en nuestro día a día dispositivos electrónicos para realizar pequeñas gestiones, incluso algunas muy importantes, donde los datos personales están directamente implicados. Desde conversaciones privadas en Whatsapp a transferencias bancarias. El auge del uso de los teléfonos móviles inteligentes y las redes sociales son (pueden ser) una puerta de entrada a nuestros datos por parte de terceras personas y poner en riesgo nuestra seguridad.
1. Vishing, la estafa por teléfono: qué es y cómo funciona
En primer lugar, el vishing es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima (por ejemplo, sus contraseñas). El objetivo es sustraer dinero (los ciberdelincuentes se suelen hacer pasar por bancos), pero también les resulta muy valioso sonsacar el DNI o la dirección. A veces, el vishing se combina con otras modalidades de estafa.
Tipos de vishing
Lo más común es que los delincuentes que realizan vishing se hagan pasar por representantes del banco de la víctima. Por ejemplo, una persona llama a un consumidor asegurándole ser un empleado de BBVA, Santander o cualquier otra entidad que ha detectado que hay un problema de seguridad. Así, logra que la víctima tema por su dinero.
El estafador le informa de que requiere su información personal para resolver el incidente, que en realidad no existe. A medida que la conversación avanza, el estafador logra convencer a la víctima para que le proporcione su nombre completo, número de tarjeta de crédito, fecha de vencimiento y código CVV. Con esta información, el estafador ya puede robar su dinero a la víctima. En otras ocasiones, los delincuentes hacen referencias a inversiones con las que se puede ganar mucho dinero, a un problema con la Agencia Tributaria o a un préstamo no solicitado.
Cómo detectarlo
En los casos más extremos, los estafadores recrean todos los detalles para dar mayor sensación de veracidad. Como en otros tipos de estafa, su prioridad es causar en la víctima una sensación de urgencia, para que actúe rápido y no tenga ni un par de minutos para calibrar qué está haciendo realmente. Para no caer en esta estafa, lo más recomendable es utilizar una aplicación de identificación de llamada, ya que, hoy en día, es relativamente sencillo crear un número falso y que simule ser el de un banco. Para ello, sólo hay que descargarse una aplicación como Truecall y así en cuanto recibas un número desconocido podrán decirte si se trata de una estafa, ya que estas aplicaciones cuentan con una base de datos de millones de números registrados como SPAM.
En la misma línea, el sistema antivirus y las herramientas antispyware actúan como grandes escudos, así que es importante mantenerlos actualizados. Estas herramientas no son más que antivirus que te sirven de protección hacia ataques de aplicaciones o programas que puedas descargarte. Existen tanto para móvil como para pc, y algunas son gratuitas, aunque siempre tienes la opción de pago que podrá protegerte de forma continuada y te asegurará que mantienes tus dispositivos al día ante cualquier ataque.
Asimismo, conviene no responder a las indicaciones extrañas de las personas que llaman e intentar verificar su identidad (buscando el número de teléfono oficial de la empresa y preguntándoles directamente). En cualquier caso, nunca se debe facilitar información personal o confidencial por teléfono, y, si hay sospechas, lo mejor es colgar el bloquear el número.
2. Phishing: la clave es el correo electrónico
Por su parte, tal y como recuerda el Instituto Nacional de Ciberseguridad (Incibe), el phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo.
Es decir, que, en el caso del phishing, la clave es el correo electrónico. Para lograr sus objetivos, los estafadores adjuntan archivos infectados o enlaces a páginas fraudulentas en el mail. Además, suelen utilizar alguna excusa (decir a la víctima que va a recibir dinero, un descuento, unos billetes de avión o de tren…) para convencerle de que siga la conversación con ellos y termine por ceder sus datos.
Recomendaciones para no caer en phising
Para evitar caer en la trampa del phishing, antes de hacer clic en un enlace que aparece en un correo electrónico conviene pasar el cursor por encima para ver la URL. Si parece sospechosa o no coincide con el sitio al que en teoría iba a dirigir, lo mejor es no hacer clic.
Otros indicadores de seguridad a los que hay que prestar atención son la identificación de conexión segura (si el sitio web comienza por https://) y el candado en la barra de direcciones.
3. Smishing: estafa por SMS
El smishing es una modalidad de estafa muy similar al phishing, pero, en este caso, se orquesta a través de un SMS. El ciberdelincuente, al igual que en los casos anteriores, simula ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robar información privada o realizarle un cargo económico.
Generalmente, el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto. “Si creemos estar ante un mensaje de texto fraudulento, lo mejor que debemos hacer es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descarga”, señala el Incibe, que recomienda también escanear el ordenador con un antivirus actualizado.
Ejemplos reales de smishing
Un smisher (el nombre técnico de los ciberdelincuentes que recurren a esta modalidad de estafa) puede hacerse pasar por empleado de un banco, por representante de una entidad pública, como Hacienda, o incluso un policía que exige el pago de una multa que en realidad no existe. También es posible que los SMS informen de un dinero que el usuario puede cobrar.
También suelen hacerse pasar por trabajadores de atención al cliente de empresas muy conocidaS, como Microsoft o Apple, o bien por técnicos de empresas de envíos, como Seur, GLS o FedEx.
Cómo detectar las estafas de phishing
Al igual que en los casos anteriores, lo más recomendable es no compartir información personal. Además, conviene desconfiar de los mensajes no solicitados, ya sean tanto SMS o mensajes de WhatsApp de remitentes desconocidos, especialmente si solicitan información personal o financiera. En este sentido, muchas entidades bancarias están haciendo pedagogía entre sus clientes para que no compartan los datos. Remarcando que nunca solicitan información sensible por teléfono, SMS u otros canales digitales. Ellos mismos piden que en caso de recibir un email extraño, solicitando datos bancarios o información similar, se contacte directamente con el banco para preguntar.
Asimismo, es muy útil prestar atención a la redacción y gramática del mensaje, ya que los mensajes de smishing suelen contener errores y ser algo abstractos o confusos.
Cómo evitar las estafas
Para no caer en estas estafas, lo más recomendable es extremar la precaución y sospechar al detectar el más mínimo indicio de fraude. También conviene comprobar el nombre del remitente y la cuenta de correo electrónico o el número que llama, y desconfiar si en el texto (tanto el del correo como el del SMS) hay errores ortográficos o de concordancia.
Asimismo, si el usuario recibe un mensaje que alerta de un cambio en su facturación o le pide realizar una transferencia, lo más aconsejable es contactar directamente con la empresa implicada (por ejemplo, Endesa, Correos, Vodafone o BBVA) para preguntar por dicha operación.
Cómo denunciar las estafas online
El Instituto Nacional de Ciberseguridad (Incibe) a través del Centro de Respuesta a Incidentes de Seguridad de referencia para los ciudadanos y entidades de derecho privado en España (INCIBE-CERT) pone a disposición de todos un buzón de correo (incidencias@incibe-cert.es) y un formulario de contacto.
Aquí, el consumidor podrá reportar los casos de fraude que detecte (correos de phishing, tiendas online fraudulentas, sitios web que alojan malware, etc.), detallando la información de contacto y una descripción lo más completa posible del incidente. “Recuerda que cuanta más información del incidente nos remitas, más sencillo será para nosotros gestionarlo de manera efectiva”, señala el Inicibe. Además, para cualquier duda, ponen a disposición del ciudadano la Línea gratuita de Ayuda en Ciberseguridad de INCIBE.
Otras estafas online
Además de estas tres estafas principales, existen otros tipos de fraudes online a los que se les ha puesto nombre. El proceso siempre es engañar al usuario para conseguir sus datos y poder tener información para estafar y robar a través de ellos. Sin embargo, hay distintos métodos. Te dejamos algunos de los más conocidos para que puedas ampliar la información sobre ellos.
- Spear phishing
- Spoofing
- SIM swapping
- Smishing
- Formjacking
- Shoulder sourfing