Verifica

El correo electrónico, WhatsApp o las redes sociales son canales de comunicación cada vez más utilizados por los ciberdelincuentes para cometer estafas. Se trata de espacios en los que recibimos mensajes de todo tipo, desde comunicaciones personales hasta otros de carácter profesional y promocional, de modo que a menudo los percibimos como canales seguros y de confianza. Sin embargo, en 2022, las Fuerzas y Cuerpos de Seguridad del Estado contabilizaron 375.506 infracciones penales a través de estos canales, un 72% más que en 2019, según datos del Ministerio del Interior.

A raíz de la pandemia, las gestiones y las compras a través de Internet han aumentado exponencialmente, al igual que lo ha hecho la cibercriminalidad: actualmente  uno de cada cinco delitos se cometen en la red.

En Catalunya, el pasado año, los Mossos d’Esquadra recibieron más de 92.000 denuncias por este tipo de delitos. Y pese a que el dato es astronómico, podría quedarse lejos de reflejar la realidad, porque según los Mossos habría muchos más casos, pues la mayoría de personas estafadas nunca llegan a presentar denuncia a la policía.

Todas las estafas digitales tienen algo en común: parten de una historia o un escenario ficticio en el que el atacante tratará de que la víctima comparta una información que, de otro modo, no revelaría. “Eso se llama ingeniería social, se trata de persuadir al usuario para que haga una acción y haga clic en un enlace, ya sea para acceder a sus datos, estropear su dispositivo o espiarlo”, explica Jorge Chinea, responsable de ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE).

La pesca (phishing) es uno de los fraudes digitales más extendidos. El atacante intenta engañar a la víctima a través del correo electrónico para que realice una acción en contra de sus intereses. Por ejemplo, revelar sus credenciales bancarias o dar acceso a información personal; descargar software malicioso o visitar webs que atacan a sus dispositivos.

Se trata de una variante del phishing, pero en este caso se utilizan los mensajes de texto a través de SMS para cometer el engaño. Smishing, de hecho, es una palabra compuesta que hace referencia a SMS y phishing. Los usuarios suelen caer porque no esperan ser engañados a través de esta vía.

Otro tipo de delito al alza es el llamado vishing. En este caso, el timo se comete a través de una llamada telefónica en la que la persona que llama suplanta la identidad de una empresa, organización o persona de confianza. Como en los casos anteriores, el atacante intenta acceder a los datos personales de la víctima para utilizarlos en beneficio propio.

En este caso, el estafador presenta una oportunidad tentadora a la víctima. A diferencia del phishing y sus derivadas, no se trata de un ataque masivo e indiscriminado a través del correo electrónico, el SMS o una llamada telefónica, sino que el atacante diseña un señuelo (bait) a medida y espera que la víctima caiga en la trampa. Por ejemplo, si se busca atacar a docentes universitarios, se estudian sus hábitos de navegabilidad y se puede determinar que están especialmente interesados ​​en la adquisición de libros, así que se utiliza una trampa relacionada con el tema. Supuestamente, se les regala un libro a cambio de datos o se les permite descargar un archivo que contenga uno, cuando en realidad se infecta el dispositivo.

Los ataques quid pro quo se basan en la manipulación psicológica y la creación de confianza para obtener información de la víctima. A diferencia del baiting, donde se espera que la víctima caiga en la trampa e infecte su dispositivo haciendo clic en un enlace, el estafador ofrece un servicio a la víctima a cambio de sus datos. El término quid pro quo significa, literalmente, «algo a cambio de algo» y es un ataque que suele funcionar para que los humanos obedezcamos al principio psicológico de la reciprocidad, de modo que cuando alguien nos da algo o nos hace un favor, queremos devolver ese favor.

«Nuestra información tiene un valor que puede ser explotado en positivo o en negativo», explica Joana Marí Cardona, delegada de Protección de Datos y Responsable de Proyectos Estratégicos de la Autoridad Catalana de Protección de Datos. “Para protegernos de cualquier ciberestafa lo primero que debemos hacer es ser conscientes del valor que tienen nuestros datos para los ciberdelincuentes y proteger la información que compartimos, tanto en nuestras redes sociales como en el correo electrónico o el WhatsApp. La foto de perfil, el nombre de usuario, la edad, el estado civil, el centro en el que hemos estudiado, el lugar de trabajo que ocupamos… todo puede servir a un delincuente para crear un escenario ficticio. No se trata de que tengamos cosas que esconder, sino de que tomemos conciencia de lo que queremos compartir y lo que no”, añade.

Las faltas de ortografía, el tipo de fuente que utiliza o el remitente son algunos de los elementos a los que merece la pena prestar atención para determinar si el mensaje que recibimos es auténtico o un intento de fraude. “Es básico hacer caso omiso a un mensaje que dice que nos llega un paquete que no hemos pedido y desconfiar de cualquier mensaje que nos ofrece duros a cuatro pesetas. Las estafas digitales no dejan de ser las estafas de toda la vida aplicadas en el entorno digital”, explica Chinea. Hay que fijarse en el remitente, pues las suplantaciones de identidad a veces pueden descubrirse porque cambia alguna letra de la dirección web, el nombre de usuario o el correo electrónico.

En caso de sospechar que estamos ante una estafa, lo más recomendable es detener las comunicaciones y contactar a través del teléfono o presencialmente con la empresa o entidad que reclama nuestros datos o quiere que hagamos clic en algún enlace o descarguemos algún archivo. Hay que ser especialmente cuidadosos si el remitente nos anima a actuar de forma inmediata. El 017 es un teléfono gratuito y confidencial que ofrece INCIBE para atender a las personas con consultas sobre ciberseguridad, estafas digitales, uso seguro de Internet y privacidad.

Ninguna empresa o institución nos pedirá datos personales a través del correo electrónico o SMS, así como tampoco las credenciales para acceder a estos datos. En caso de haberlas dado, es necesario ponerse en contacto con la empresa lo antes posible para protegernos de posibles usurpaciones. Cualquier hecho que pueda constituir una infracción en materia de protección de datos también puede denunciarse ante el  INCIBE.

“A menudo los ataques se cometen por deficiencias de un sistema que puede permitir que el atacante acceda a la información del dispositivo”, explica Chinea. “Una de las contraseñas más utilizadas a día de hoy sigue siendo 1234”, ejemplifica. Para evitar estos casos, los expertos recomiendan algunos consejos básicos de ciberseguridad, como utilizar contraseñas seguras y actualizarlas regularmente; no tener siempre la geolocalización activada; no utilizar redes de wifi públicas, actualizar el sistema y las aplicaciones que se utilizan de forma regular y desinstalar las que no se utilizan.