Con las fiestas fin de año es muy frecuente que aumenten los casos de fraude o estafa a través de medios digitales. Estos hechos ocurren principalmente en el aspecto financiero, debido al mayor movimiento económico. Las personas cobran el aguinaldo y realizan múltiples transacciones, sobre todo en línea, y este año más que otros, ya que la mayoría de los comercios se han visto obligados a migrar a plataformas en línea por la pandemia del coronavirus (COVID-19).
Dada la ocasión, los ciberdelincuentes aprovechan el desconocimiento de las técnicas usadas o el descuido de las potenciales víctimas, para acceder a su información personal y confidencial, principalmente para robar o estafar, valiéndose de múltiples técnicas, incluidas aquellas como el “Phishing”.
El phishing consiste en ataques basados en ingeniería social, técnicas de engaño y manipulación para conseguir la revelación de información personal o permita al atacante tomar control de nuestros dispositivos, que pueden ser de distintos tipos.
¿ Cómo funciona? El ciberdelincuente envía un mensaje a través de correo electrónico, redes sociales, aplicaciones de mensajería instantánea,  llamadas telefónicas o SMS (que suelen ser de carácter urgente o atractivo) suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública (con la que nos sintamos confiados), para lograr su objetivo: el robo de información personal y/o financiera del usuario.
Estos mensajes muchas veces vienen con un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo o bien se trata de un archivo adjunto malicioso para infectar con malware y de esta manera tomar el control del dispositivo. Así, el usuario cree estar ingresando los datos en un sitio de confianza, cuando en realidad estos son enviados directamente al delincuente.
Cuando se trata de un ataque dirigido a una persona en concreto, se conoce como Spear phishing. Esta modalidad centra en una persona específica las técnicas de manipulación, recabando información sobre ella previamente para maximizar las probabilidades de éxito a la hora de hacerse con su información o dinero.
Dependiendo del caso, a través del phishing un atacante puede obtener información como contraseñas de correo electrónico, contraseñas de redes sociales, PIN de la tarjeta de crédito/débito, y otros.
Es por ello que desde el Ministerio de Tecnologías de la Información y Comunicación, a través de la Dirección General de Ciberseguridad y Protección de la Información, te recomendamos adoptar las siguientes buenas prácticas de Ciberseguridad para evitar ser víctima de algún tipo de fraude durante las fiestas de fin de año:
  • Si recibís algún mensaje de remitente desconocido, trátalo con especial cuidado; ya que podría contener información falsa, archivos maliciosos adjuntos o enlaces poco confiables. Aseguráte de la legitimidad de los enlaces antes de ingresar a ellos (posicionar el cursor sobre el enlace y verificar que se trate de una página legítima o buscar el sitio directamente desde el navegador).
  • Accedé únicamente a páginas web oficiales. Para ello comprobá siempre la URL del sitio web donde estás ingresando. Evitá acceder a sitios web sospechosos, sin asegurarte de su legitimidad.
  • Desconfiá de los chantajes o extorsiones que pudieras recibir telefónicamente o en tu correo. Normalmente buscan captar tu atención con mensajes alarmantes y piden un rescate sobre una supuesta información tuya que realmente no tienen. Suelen venir de remitentes desconocidos.
  • También desconfiá si a través de una llamada alguien dice ser el técnico/trabajador de un servicio y bajo cualquier excusa te pide que descargues una aplicación determinada, confirmes datos personales como los datos de tus tarjetas, o realices algún pago, etc. No atiendas a sus peticiones y confirma con terceras fuentes de confianza que realmente es quien dice ser.
  • Como una medida de protección general, debés tener siempre presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, SMS o cualquier otro canal, por tanto, ojo con los mensajes que solicitan información personal, que parecen de tu banco, pero que realmente no lo son.
  • Al navegar por Internet y acceder a tus webs favoritas, verificá sus características. Por ejemplo, aseguráte de que sea una página segura (que comience con https), así como que la dirección del portal pertenezca a la URL de la entidad. Es decir, si el banco X ofrece servicios en línea, y con total seguridad sabés que su dirección web es “www.bancox.com”, no atiendas a peticiones que te dirijan a otras direcciones web que no sea esa.
  • Nunca compartas información personal por correo electrónico, redes sociales, servicios de mensajería instantánea, llamadas telefónicas o SMS.
Una característica del Phishing es que páginas auténticas pueden suplantarse con una simple similitud de las palabras (en el caso anterior, la página falsa podría ser www.banncox.com, se ha introducido una n adicional). El simple hecho de que se parezcan la URL falsa y la legítima provoca que muchos usuarios desprevenidos caigan en este tipo de engaños.