La Seguridad Social, Hacienda, Endesa, plataformas de entretenimiento… No importa si son organismos públicos o privados. Los hackers se hacen pasar por servicios muy populares entre los ciudadanos con el fin de robar sus datos personales y bancarios. Para ello, recurren al envío de correos electrónicos fraudulentos (phishing), como alerta la Oficina de Seguridad del Internauta (OSI) mediante sus avisos de seguridad. Pero la suplantación de identidad no es la única forma que tienen los cibercriminales de hacerse con un bien tan preciado como nuestra información. En las siguientes líneas contamos algunas de las prácticas más utilizadas y los consejos de un experto en ciberdelincuencia para no caer en ellos.
Phishing: el modus operandi más común para los ciberdelincuentes
En los últimos años los expertos en seguridad han detectado ataques masivos en forma de phishing, con los que los ciberdelincuentes suplantan la identidad de populares plataformas (de entretenimiento, de paquetería y logística, etc) para robar datos de sus clientes. Los hackers se hacen pasar por el servicio que presta la plataforma para dar con las claves de las cuentas de sus usuarios.
¿El modus operandi? Enviar un correo electrónico falso que imita la identidad corporativa de la plataforma y en el que piden a las víctimas que verifiquen sus datos clicando en un enlace que, en realidad, dirige a una página falsa.
El verdadero peligro de este ciberataque, phishing, es la reventa de datos en el mercado negro, lo que facilita ataques a mayor escala, tal y como comentan desde PandaLabs, el laboratorio antimalware de Panda Security. Y advierten de que los ciberdelincuentes aprovechan nuestros errores con las contraseñas, como reutilizarlas en cuentas de correo y redes sociales, algo que allana el camino a estos criminales.
Además del phising, hay otros delitos relacionados con la ciberdelincuencia destinados a hacerse con tus datos:
➡️ Pharming
Este fraude consiste en manipular el dominio de un sitio web para que dirija a los usuarios a sitios web falsos, pero muy similares en apariencia. De este modo instalan un software malicioso en el equipo de la víctima o bien se hacen con sus contraseñas o datos bancarios.
➡️ Smishing
Envían SMS o WhatsApp, presuntamente de tu banco, para informar de que se ha hecho una compra sospechosa con la tarjeta, y piden que se llame al banco, dando un número falso. Al devolver la llamada, solicitan los datos para cancelar la compra.
Robo de datos personales: ¿Cómo evoluciona la ciberdelincuencia?
Imagen: geralt
Cada año,grandes empresas y plataformas son objeto de ciberataques para robar datos personales, bancarios o ambos. «Se trata de timos muy bien orquestados, ya que los ciberdelincuentes incluso emulan usar una autenticación de doble factor«, advierten desde Panda Security. Y, como alertan casi a diario desde la OSI, también hay muchos otros problemas con la filtración de datos.
¿Qué está pasando? «En el ámbito de Internet, a día de hoy, uno de los activos más importantes, lo que más se valora, independientemente de las transacciones económicas y las autorizaciones de estas, son los datos personales», reconoce el comandante Alberto Redondo, Jefe del Grupo de Delitos Tecnológicos de la Unidad Técnica de la Policía Judicial de la Guardia Civil. Y nuestras contraseñas para entrar a nuestro correo electrónico o a nuestras cuentas en plataformas y servicios, bancos o tiendas, son una puerta, muchas veces, sencilla de pasar.
Y más, si usamos una misma clave para todo. «Esto es una cadena. Si usas la misma contraseña para el banco que para gestionar la tarjeta de puntos de viaje, en el momento que te revientan una —que si no es muy complicada no es demasiado complejo— pueden acceder a todos los sistemas. Y si se hacen con la clave del correo electrónico, pueden tener el control de la mayoría de los servicios online, pues en la mayoría de los servicios que tenemos con password y usuario en Internet te dan la posibilidad de recuperar la clave y te la mandan a tu correo electrónico. Es la pescadilla que se muerde la cola», resume el experto en delitos tecnológicos.
Cómo defender tus datos personales
La privacidad y seguridad en Internet es vital, pero en seguridad informática -recuerda el especialista- «no hay nada 100 % seguro», por lo que no queda otra que ponérselo difícil a los ciberdelincuentes.
Crear contraseñas robustas (nada de conservar las que nos vienen predefinidas o sencillas de recordar), ayudarse para ello de sitios como Clavesegura.org o Identity Safe y contar con un gestor de contraseñas para construirlas y guardarlas son las fórmulas que recomienda Redondo. “Muchos gestores utilizan el doble factor de autenticación, las claves son robustas y algunos incluso rastrean en la Red por si ha habido una filtración de esa clave o si está en algún foro”, señala.
¿Cómo proteger tus contraseñas (y tus datos personales?Lo menos seguro es guardarla en cualquier tipo de documento informático, es decir, en un archivo txt o un Word en el escritorio. «Con un acceso directo es muy fácil de obtener», admite el experto, por lo que casi es más seguro tenerlas apuntadas en un papel y saber dónde están.
También podemos confirmar con la aplicación Have I Been Pwned que nuestro correo electrónico no está comprometido, tras brechas de seguridad o ataques de sistemas que hayan podido darse.
Pero hemos podido tomar estas medidas y aun eso ser víctimas. ¿Cómo saberlo? El comandante de la Guardia Civil da algunas pistas:
- En la carpeta basura para los mensajes spam (indeseados), ese tipo de correos empieza a ser inusualmente alto.
- Los correos spam no pasan ese filtro y empezamos a recibir determinadas ofertas que no hemos solicitado en la carpeta de entrada principal.
- Tenemos mucho correo phishing. Es lógico no caer si no tenemos cuenta, por ejemplo, en un determinado banco y nos dicen por correo electrónico que ha habido algún problema con la última transferencia que hecho con ellos. Pero si coincide que lo eres y respondes, podrán acceder a tus datos.
- En servicios de pago, como la televisión online, con nuestras claves no podremos entrar.
Si nos han hackeado la cuenta, habrá que cambiar la contraseña y, en ocasiones, incluso «merecerá la pena cambiar la cuenta entera, no solo el password», sostiene Redondo. Por lo que resulta fundamental comunicarlo al proveedor del servicio donde esté la clave comprometida.
Y, por supuesto, si vemos que el delito se ha consumado (una transferencia económica con tu nombre o han hecho uso de un servicio), siempre es importante acudir a la policía y denunciar una estafa en Internet.