Las 5 estafas más comunes en internet y como evitarlas
No eres paranoico, solo tienes cuidado. Al menos eso es lo que te dices a ti mismo. Seguramente ejecutas el software antivirus más robusto, gastando $40 cada año por la última versión.
Probablemente también utilizas la identificación de dos factores (2FA) en cualquier sitio web que la ofrezca. Eres asiduo lector de sitios web sobre seguridad informática. Y aunque la mayoría de la gente usa contraseñas, tu usa frases de contraseña. Todas las frases de contraseña tienen más de 20 caracteres e incluyen letras mayúsculas, minúsculas, números y algún carácter especial. Tus frases de contraseña no solo son más seguras que las contraseñas complejas, sino que también puedes recordar “2$hy2$hyhu$hu$heye2eye” mucho mejor que “s7Y%2b#&sg.”
No es que lo necesites. Utiliza un administrador de contraseñas y cambias la frase maestra de tu cuenta todos los meses. Tu teléfono tiene un código de acceso de seis dígitos que cambias todos los días. Estableciste la configuración de privacidad más estricta en tus cuentas de redes sociales hace meses, luego, en un momento de claridad, eliminaste las cuentas por completo.
Nunca comunicas información personal por correo electrónico, te aseguras con una llamada cada vez que necesitas compartir datos como tu fecha de nacimiento. Y cuando haces llamadas o envías mensajes de texto, usas un servicio encriptado.
Muy protegido
Sin duda, estás mucho mejor protegido que casi todos los demás en el planeta. Pero aún no estás a salvo. Los estafadores evolucionan constantemente sus técnicas y explotan vulnerabilidades tanto tecnológicas como psicológicas. Tan pronto como la industria de la seguridad pone freno a un método para estafar a las personas, los estafadores encuentran uno nuevo. Los nuevos métodos hacen caer incluso a los más conocedores de tecnología.
“Cualquiera que piense que está por encima de eso se está engañando a sí mismo”, dice Steve Weisman. Weisman reporta lo último en fraudes tecnológicos en Scamicide.com. “La persona que piensa que no pueden ser estafados spn el mejor objetivo”, agrega.
Las estafas más comunes en internet
A continuación, te presento las 5 estafas más comunes en internet y como protegerte para no caer en ellas.
1. La estafa del CEO
A pesar de décadas de advertencias y millones de víctimas, la gente sigue cayendo en las estafas por correo electrónico. Caen “porque los estafadores se vuelven cada vez más creativos”, dice Ana Dascalescu de Heimdal Security, una empresa de seguridad global con sede en Dinamarca.
Hace un par de años, un sofisticado ataque de phishing de Google Docs engañó a millones para que entregaran el acceso a sus cuentas de Gmail. Y aunque todos piensan que pueden detectar una estafa de príncipe nigeriano, también conocida como fraude 419, ese viejo recurso ha evolucionado. La evolución más allá de los mensajes cargados de errores que se envían a los fácilmente engañados.
En 2018, la firma de ciberseguridad Crowdstrike informó sobre la última estafa similar. El “compromiso de correo electrónico empresarial” (BEC) es una campaña de “spear phishing” hiper enfocada que se dirige a empresas específicas. Los estafadores primero se infiltran en el sistema de correo electrónico de una empresa. Una vez que tienen acceso, controlan cómo opera una empresa. Roban documentos legítimos y luego atacan.
“Habrá un correo electrónico del CEO diciendo: ‘Quiero completar esta transacción. Y quiero que transfieras esto a un banco en Singapur ‘”, dice Chris Bronk, experto en ciberseguridad de la Universidad de Houston. Esto describe el camino típico de un BEC. El estafador confía en su capacidad para falsificar una factura real y en la deferencia de un subordinado hacia su jefe. Cuando la estafa funcione, el empleado cumplirá diligentemente las órdenes de su “jefe”. El empleado enviará dinero a la cuenta de un estafador antes de darse cuenta de que ha sido engañado.
Las dimensiones generales de esta estafa no son nuevas. Empero, está funcionando ahora más que nunca; el FBI reporta pérdidas de $12 mil millones a nivel mundial debido a la estafa.
Cómo evitarlo
Protección con contraseña
La prevención de esta estafa comienza con denegar a los estafadores el acceso al sistema de correo electrónico de una empresa. Si no pueden robar una factura real, no podrán hacer una falsa convincente.
Las políticas estrictas de contraseñas son un buen punto de partida. Deben ser complejos, variados y almacenados en un administrador de contraseñas como LastPass, Dashlane o Keeper. Estos servicios no están exentos de riesgos. No obstante, “tienes que creer en alguien”, dice Dascalescu. “Y supera la alternativa de tener la misma contraseña suelta en todas las cuentas”.
Claves físicas
Si las contraseñas se ven comprometidas, una clave física aún podría bloquear a un estafador. Google ha tenido éxito con esta versión ampliada de autenticación de dos factores, que reemplaza los mensajes de texto de un solo uso. Estos mensajes eran usados por la mayoría de los bancos para confirmar la identidad. Ahora se puede hacer con una llave de plástico que se inserta en un puerto USB.
El gigante de la tecnología afirmó que después de un año de exigir a los usuarios que usaran claves físicas, ni uno de sus más de 85,000 empleados vio comprometida su cuenta. “Esa es una de las grandes revoluciones en términos de autenticación”, dice Dascalescu sobre las claves. “Son dispositivos diminutos y extremadamente asequibles que eliminan todas las posibilidades de que alguien acceda a tu cuenta a través de métodos tradicionales de phishing“.
Escepticismo
No todas las empresas son Google. Para esas empresas, es esencial que las personas conozcan los signos clásicos de un correo electrónico sospechoso. Pueden estar llenos de errores ortográficos y gramaticales, prometer algo que es demasiado bueno para ser verdad o parecer amenazantes. Y algunos estafadores se mantienen bien informados, dice Eugene Spafford, profesor de informática en la Universidad Purdue. “Muchos analizaran primero para ver qué hay en las noticias. Si hay un desastre, fingirán ayuda “.
Los enlaces peligrosos se pueden identificar antes de hacer clic examinando la URL. Si parece sospechoso, no hagas clic. Por supuesto, los estafadores han encontrado formas de evitar esto.
Un ataque homográfico ocurre cuando los estafadores crean direcciones de correo electrónico o URL que parecen legítimas. No obstante, las direcciones incluyen letras parecidas que no se pueden distinguir en lugar de las esperadas. Una “I” mayúscula se puede reemplazar por una “L” minúscula, o se pueden usar letras cirílicas en lugar de las inglesas. Esta estafa en particular le costó a uno de los hombres más ricos de Australia $1 millón el año pasado. Esto ocurrió después de que su asistente fuese engañado por un correo electrónico que supuestamente provenía de su cuenta.
2. Sextorsión
Cualquiera con el más mínimo conocimiento de la web no tendría problemas para ignorar un correo electrónico de un remitente desconocido que afirma tener una grabación de ellos viendo pornografía. Pero, ¿qué pasa si el remitente revela que conoce una contraseña que has usado antes? ¿Eso te asustaría?
Eso es lo que esperan las personas detrás de una de las estafas más grandes de los últimos tiempos. Aplican esta técnica cuando intentan que las víctimas paguen un rescate para evitar que se compartan videos espeluznantes con sus contactos.
La clave para llevar a cabo esta estafa cada vez más es convencer a las víctimas de que la amenaza de exposición es real.
Ahí es donde entra en juego la contraseña antigua, también obtenida de una violación de datos. “Hay muchas personas que están muy nerviosas, que no tienen contraseñas únicas en cada sitio, que pueden ceder”, dice Weisman. Una vez que lo hagan, desembolsarán miles de dólares para conservar su privacidad.
Cómo evitarlo
Cubrir tu cámara web
Además de actualizar regularmente tus contraseñas y nunca reutilizarlas, hay un paso simple y rudimentario para evitar que las víctimas caigan en esta estafa. Debes colocar un trozo de cinta aislante sobre tu cámara web. Así, sabrá que no importa qué cosas raras estés haciendo frente a tu computadora portátil, nadie está mirándote.
3. Vishing
Hubo un tiempo en que lo más peligroso que podía acechar al otro lado de una llamada telefónica era un niño de 12 años preguntando por Jacques Strap. Ya no. Las llamadas telefónicas siguen siendo el método de contacto más popular para las estafas financieras. En 2019, la mitad de todas las llamadas a teléfonos móviles fueron estafas, según la firma de comunicaciones First Orion.
Solo se están volviendo más sofisticadas. Las llamadas de phishing de voz modernas procederán de un número que reconozcas. Tu banco, tal vez, llama para decirte que hay un problema con tu tarjeta de débito. La seguridad parece haber sido violada, dirá la educada voz.
Te pedirán información de la cuenta, como tu PIN o el número de seguridad de tres dígitos que se encuentra en el reverso de tu tarjeta. Si dudas, y debería hacerlo, ellos pueden intentar aliviar tus preocupaciones confirmando tu identidad. Leerán los últimos cuatro dígitos de tu número de Seguro Social, algo que supondría que solo tu banco tendría, y esperarán que bajes la guardia.
No deberías, dice Weisman. “Te están proporcionando información para que parezcan legítimos”, dice. Y lo más probable es que la información sea correcta. Los estafadores están recolectando datos personales de compañías como Equifax, que expuso la información confidencial de 143 millones de personas en 2017. Por sí mismos, esos datos no son muy lucrativos. Pero los estafadores saben cómo ponerlo en práctica, abriendo lo que Weisman llama un “mundo nuevo y feliz” de posibilidades.
Cómo evitarlo
Colgar
Si un banco o una compañía de tarjetas de crédito llama y comienza a pedir información personal, eso debería activar señales de alerta, señala Weisman. “Nunca hay una razón para que el banco solicite tu PIN o CCV. Ellos tienen esa información “.
Si alguien llama desde un banco u otra institución financiera, nunca debes revelar ninguna información personal en esa llamada en particular. “Deberías preguntar por tu nombre o el número de caso. Cuelga, busca el número de teléfono, devuélvele la llamada y pídele a esa persona que verifique que realmente es ella “.
En estos días, el proceso de verificar el número de teléfono de un banco no es tan fácil como parece. Un error común, dice Dascalescu, es ingresar un número en Google con la esperanza de verificarlo. “Los estafadores están robando los resultados de Google”, señala. “Nadie debería creer en los resultados de Google”.
Devuelve la llamada, pero primero debes confirmar el número
Debes buscar una factura y llamar al número impreso en ella. O voltea tu tarjeta de crédito y llama al número que se encuentra en la parte posterior. Pero ten, cuidado al marcar. “Algunos estafadores han comprado números de teléfono que están a un dígito del número legítimo”, dice Weisman.
Descargar una aplicación
Puedes descargar una aplicación de terceros como Hiya, Truecaller o Robokiller que ayudarán a cerrar la brecha. Estas aplicaciones comparan las llamadas entrantes con una base de datos de millones de números utilizados por spammers, estafadores y llamadas automáticas. Si encuentran una coincidencia, rechazan las llamadas antes de que suene tu teléfono.
4. SMishing
Ellos realizan suplantación de identidad por correo electrónico, suplantación de identidad por teléfono y sí, los estafadores realizan suplantación de identidad por mensaje de texto. Dado que la técnica no es tan conocida, las personas no siempre sospechan tanto de los textos fraudulentos como deberían, dice Weisman.
Estos ataques son particularmente exitosos porque nos hemos acostumbrado a recibir información legítima a través de mensajes de texto. Los bancos permiten que los consumidores reciban alertas de texto, lo que nos capacita para confiar en los mensajes.
En general, esto es algo bueno, dice Bronk, porque permite a los bancos asegurarse rápidamente de que realmente eres tu quien compra en un centro comercial.
Sin embargo, los estafadores saben que estamos acostumbrados a este método de comunicación y lo explotan. “Un atacante inteligente es aquel que dice: ‘Esto es algo que haces todo el día, voy a aprovechar esto para mis propósitos’”.
Cómo evitarlo
Nunca hagas clic
No respondas a mensajes de texto de remitentes desconocidos y nunca hagas clic en enlaces sospechosos. Sin embargo, si estas estafas se hacen bien, no serán obvias. Hay aplicaciones, como VeroSMS y SMS Shield, que bloquearán el paso de algunos mensajes de spam. Sin embargo, las instituciones financieras también tienen un papel que desempeñar aquí.
“Tienen que hacer un mejor trabajo para alertar a los consumidores sobre estos problemas”, dice. “Los bancos deberían decir: ‘No, no vamos a llamar. No vamos a pedir información personal’. Creo que no hacen lo suficiente”.
5. Billeteras RFID
Las historias han existido durante años. Los hackers de alta tecnología caminan por lugares abarrotados robando información crediticia con skimmers de identificación por radiofrecuencia. Se llaman carteristas electrónicos, y todo un mercado de billeteras, carteras e incluso chaquetas con bloqueo RFID ha surgido para frustrarlos.
Estas soluciones atraen al consumidor conocedor de la tecnología. Sin embargo, resulta que hay muy poca evidencia de que esto sea un problema. En este caso, no es el estafador en la sombra que estafa a las víctimas para sacarles su dinero, son las personas que pretenden protegerlas.
Cómo evitarlo
No te molestes
Como no está sucediendo, no hay necesidad de evitarlo. Pero si eres muy cauteloso, Dascalescu dice que hay un producto que es menos costoso y más efectivo que las billeteras con bloqueo RFID en SkyMall. “Cualquier pieza de papel de aluminio funcionaría”, dice.
Conclusión
Y ahora las malas noticias: aunque vale la pena tomar medidas para evitar ser estafado, hay una cierta futilidad en todo esto. “Los estafadores son los únicos criminales a los que llamamos artistas”, dice Weisman. “Tienen un conocimiento de psicología que Freud envidiaría”.
Eso no significa que la gente deba bajar la guardia, pero sí significa aceptar que todos somos vulnerables, incluso los expertos en ciberseguridad. “Al comentar en este artículo, me estoy abriendo al ataque”, dice Bronk. “Alguien dirá, ‘Él no cree que pueda ser hackeado. Voy a hacerlo. “Es por eso que lo diré rotundamente: alguien ciertamente podría hacer algo con mis cuentas si quisiera”.