Se acerca el Black Friday (viernes, 29 de noviembre) y, con él, el pistoletazo de salida de las compras navideñas. Decenas de reclamos y ofertas atraen a los ‘cibercompradores’ que, según los datos del Observatorio Cetelem, realizarán un gasto medio de 280€.

El 70% de los españoles comprarán en esta campaña, un 20% más con respecto al año anterior, siendo Internet el canal preferido para realizar dichas compras, motivo por el cual debemos estar más atentos frente a posibles ciberestafas, ya que buena parte de los ataques que se producen son por medio de ingeniería social, es decir, engañando a una persona haciéndose pasar por quien no se es para obtener información privada o dinero.

Según Jorge Martínez, profesor de ciberseguridad en el Grado en ‘Ingeniería del software’ en el Centro Universitario U-tad, «en momentos clave como el Black Friday y el Cyber Monday, debemos extremar las precauciones porque está comprobado que este tipo de ciberdelitos de ingeniería social aumentan considerablemente. Debemos reflexionar, comparar y verificar antes de comprar, y también, muy importante, antes de pinchar en cualquier enlace».

Este experto ha elaborado una lista con algunos de los ciberataques más utilizados por los ciberdelincuentes en estos días, cómo identificarlos y qué debemos hacer si recibimos alguno de ellos.  

Los ciberatacantes crean tiendas online fraudulentas (typosquatting): en estas fechas en las que se utiliza más que nunca el comercio online, los cibercriminales crean aplicaciones o páginas web falsas, ya sean tiendas inventadas o copias de franquicias ya existentes, donde aprovechándose de errores tipográficos comunes que los usuarios cometen al escribir, les engañan para que dejen sus datos personales o bancarios. Por ejemplo, en vez del dominio http://www.mediamarkt.es compran el dominio http://www.mediamarket.es, imitando a la perfección los elementos visuales del sitio real, para que las víctimas no sospechen, y así poder estafarles. Lo recomendable es siempre asegurarse de que la tienda es legítima, buscando información en Google y, en caso de que sea un nombre comercial conocido, revisar desde dónde y cómo nos ha llegado la información y validarla en Internet. En muchas ocasiones, los hackers envían SMS donde redirigen a la gente a dichas aplicaciones fraudulentas. Asimismo, es importante recordar que no se debe dar nunca el número de tarjeta ni teclearlo en aplicaciones que no sean conocidas.

Los ciberdelincuentes se hacen pasar por otro remitente o entidad (phishing): se trata de una de las técnicas más antiguas y fáciles de realizar por un estafador. Este ataque consiste en engañar a un usuario haciéndose pasar por una persona, empresa o servicio que inspire confianza: puede ser un banco, una franquicia comercial, cualquier compañía de servicios o un familiar. Los estafadores crean un correo electrónico falso que suene convincente y que requiera una acción inmediata. Este tipo de mensajes, además, añaden un link a una página web falsa creada por el propio atacante con el objetivo de ver todos los datos que se hayan introducido por los usuarios. Este tipo de ciberataque se suele enviar de forma masiva por correo electrónico para que alguien caiga en la trampa. Para no morder el anzuelo, se recomienda acceder al servicio por medio del navegador, sin utilizar ningún link que haya en ningún mensaje, parezca o no legítimo.

Recibimos una llamada falsa y ‘supuestamente urgente’ (vishing): este es un ciberataque relativamente reciente que consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa, como las que comentábamos anteriormente, para obtener información confidencial. Por ejemplo, una llamada sobre el bloqueo de tarjetas de crédito o paquetes pendientes de recoger, son las vías comunes a través de las que los atacantes tratan de llamar la atención de los usuarios. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, si nos llaman desde un banco o cualquier otra compañía pidiéndonos datos personales, por muy urgente que sea el trámite que se deba hacer, lo mejor es colgar, no revelar ninguna información y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata. Además, se está empezando a emplear un nuevo tipo de engaño donde la víctima recibe una llamada y cuando contesta con un “si”, salta una locución avisando de que queda formalizada la contratación de un servicio por un importe de X euros. El usuario “asustado” devuelve la llamada a ese número, donde le piden ciertos datos para cancelar ese servicio (que puede ser un paquete premium o cualquier cosa), pero en realidad están “robando” nuestros datos. Lo recomendable en estos casos es no devolver nunca la llamada a ningún número “misterioso” y llamar directamente a la empresa “supuestamente” suplantada para confirmar que no hemos contratado ningún servicio no deseado.

Nos llegan SMS no esperados con enlaces no deseados (smishing): es una técnica de ingeniería social igual que el phishing, pero en lugar de recibir un correo electrónico, nos llega un SMS. Uno de los últimos detectados consiste en recibir un SMS indicando que se ha realizado un cargo fraudulento en nuestra cuenta y que nuestra tarjeta ha sido bloqueada. Para solucionarlo, hay que hacer “click” en un enlace que dirige a una web falsa. Otro ejemplo reciente es recibir un SMS fraudulento del tipo “mamá, mi teléfono se ha estropeado, este es mi nuevo número”, donde supuestamente nuestro hijo nos indica que su móvil se ha roto y está enviándonos el mensaje desde el móvil de un amigo desde el cual, posteriormente, nos solicitará dinero. No debemos caer nunca en la trampa de este tipo de estafas, lo primero que tenemos que hacer es bloquear al remitente, y en el caso de que hayamos efectuado algún pago, deberemos contactar lo antes posible con nuestra entidad bancaria. Si ya les hemos facilitado los datos de nuestra tarjeta de crédito, avisaremos rápidamente a nuestro banco para que la cancelen.

Duplicados de tarjeta SIM (Sim swapping): tras haber hecho un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante se hace pasar por una víctima para solicitar un duplicado de su tarjeta SIM. Para conseguir dicha tarjeta, muchas veces es suficiente con llamar a la compañía de teléfono y dar el DNI junto con el nombre completo. Una vez que el atacante se hace con la tarjeta sim de la víctima, se puede hacer pasar por él/ella en numerosos servicios. Al fin y al cabo, es muy común que un servicio online en el que te tienes que identificar te pida la confirmación por medio de un SMS. Así que hay que tener cuidado con los mensajes de confirmación con un código de seguridad. En caso de que no haya sido solicitado por nosotros, este mensaje no va a ser un error y habrá que llamar a la compañía telefónica para anular el duplicado de la tarjeta.