Claves bancarias y firmas electrónicas
Términos como phishing o vishing han sustituido, en el argot de la delincuencia, al tradicional timo de la estampita, el tocomocho o los trileros. Aunque estas últimas estafas se siguen dando, actualmente proliferan los fraudes masivos a través de la Red y los teléfonos móviles. Conocer cómo operan los “ciberestafadores” es de gran utilidad, y puede salvar a los usuarios de ser víctimas de este tipo de engaños.
Hace relativamente poco tiempo Internet entró en gran parte de los hogares españoles. En estos años ha facilitado mucho la vida a los ciudadanos y ha abierto una gran ventana al conocimiento. Con un solo clic se puede acceder a enciclopedias, biografías, visitar virtualmente cualquier parte del mundo o manejar las cuentas bancarias sin necesidad de salir de casa. Pero paralelamente a este desarrollo han surgido métodos, cada vez más sofisticados, de engañar al internauta mediante correos basura y usurpación de identidades, que puede permitir la apropiación, por parte de “ciberdelincuentes” de los datos personales, claves bancarias y firmas electrónicas.
Una de las estafas que más sufren los usuarios de Internet es el phishing o suplantación de identidad, con la que los timadores consiguen información privada de los usuarios como números de cuenta, contraseñas para operar en entidades bancarias… Los delincuentes envían millones de correos electrónicos fraudulentos que aparentemente proceden de sitios de confianza: organizaciones, bancos e incluso organismos públicos. Para ello, los falsificadores diseñan una web igual a la real y utilizan logotipos, símbolos, colores corporativos o tipografía idénticos a los de la página legítima. Además, el mensaje suele incluir enlaces que llevan a la web creada por los delincuentes.
Diseñan una web igual a la real y usan logotipos, colores o tipografía idénticos a los de la página legítima
Uno de los trucos que utilizan los timadores es pedir al cliente que compruebe su cuenta pinchando el enlace que han creado para poder tener acceso a ella. En ese momento le solicitan datos como el nombre de usuario, la contraseña, el número de la Seguridad Social, etc., según del tipo de web que hayan falsificado. Como su apariencia es muy similar a la real, muchos usuarios confían en el sitio simulado y dan todos sus datos. En ocasiones los delincuentes, fingiendo ser empleados del banco, alertan a los consumidores de que su cuenta está siendo utilizada de forma fraudulenta y les advierten de que si no contestan rápidamente al correo, la cuenta bancaria será cancelada. De este modo, la víctima, al intentar evitar que continúe el supuesto ataque cae en la trampa y da la información requerida. Una vez que han conseguido las claves, los ladrones se llevan el dinero de las cuentas del estafado. También se puede obtener cualquier otro tipo de datos confidenciales sobre el ciudadano.
Consejos para evitar el phishing
Además de tener instalados en el ordenador programas antivirus y cortafuegos, hay una serie de pautas que el consumidor puede seguir para intentar evitar ser víctima de un fraude por suplantación de identidad.
- Instalar en el ordenador el filtro de suplantación de identidad que advierte o bloquea los sitios web fraudulentos. De este modo, el ciudadano está más protegido contra el robo de datos personales.
- Eliminar directamente cualquier correo que pueda parecer sospechoso sin llegar a abrirlo. Es frecuente recibir correspondencia electrónica en la que se solicita la clave de una cuenta bancaria de una entidad de la que el receptor ni siquiera es cliente. Si no se ha solicitado el mensaje y se desconoce su remitente, es aconsejable borrarlo porque el correo es el medio de propagación de la mayoría de los virus.
Los bancos nunca piden contraseñas de las cuentas corrientes a través de un correo electrónico
- Las cadenas de mensajes en las que se asegura que si se reenvía el correo a un número de personas el interesado recibirá un premio o ayudará a una persona enferma a curarse suelen ser el medio que utilizan los estafadores para conseguir las direcciones de la gente. Si se reenvía, debe hacerse utilizando la opción “con copia oculta” para que las direcciones y los nombres no estén a la vista.
- Si el internauta cree que ha recibido un correo en el que se suplanta la identidad de una organización no debe responder. Es aconsejable que lo ponga en conocimiento de la entidad u organismo para saber si realmente se trata o no de un mensaje fraudulento.
- Los bancos, cajas de ahorro y organismos del Estado jamás piden a través del correo electrónico no solicitado las claves de acceso a cuentas, números de la Seguridad Social o el Documento Nacional de Identidad, por lo que el ciudadano nunca debe facilitar estos datos.
- Es recomendable no pinchar en los vínculos que incluyen los mensajes de los bancos porque si no son de la entidad legítima pueden enviar a páginas fraudulentas. A veces, al hacer clic en estos enlaces, en la barra de direcciones puede aparecer la dirección correcta porque está falsificada y el cliente da los datos como si fuera el sitio verdadero. Por este motivo, siempre es mejor escribir la dirección de la organización u organismo oficial en la barra de direcciones. Si ya se ha abierto la ventana emergente tras pinchar el vínculo nunca se debe escribir en ella información personal o confidencial.
- Antes de introducir datos personales en una página web hay que comprobar el certificado de seguridad. En Internet Explorer se puede verificar mirando, en la barra de estado, si el candado amarillo está cerrado. Si esto es así significa que el sitio es seguro y protege la información personal que da el consumidor. Sin embargo, al igual que se crea una página simulada, también se puede falsificar el candado. Si se hace doble clic en este icono, muestra el certificado de seguridad del sitio. De todos modos, las verdaderas webs de los bancos tienen sistemas de seguridad sólidos y el usuario, una vez ha entrado, puede navegar tranquilo por ellas.
- Cuando el internauta cree que ha sido víctima de un fraude de este tipo debe comunicarlo cuanto antes. Si ha dado información bancaria ha de ponerse en contacto con la entidad para que ésta bloquee la cuenta. Debe informarles, además, de que la identidad de su empresa está siendo suplantada. También es conveniente denunciarlo ante la Policía o la Guardia Civil.
- La víctima debe cambiar las claves de sus correos electrónicos, cuentas corrientes y todas las que crea que pueden estar en poder de los estafadores.
Otras estafas por Internet
Una versión aún más elaborada de la suplantación de identidad por Internet es el spear phishing, en la que la estafa se dirige a un objetivo muy específico como los miembros de una determinada empresa, organismo u organización. Los mensajes recibidos parecen ser auténticos, procedentes de un compañero, un jefe o el encargado del sistema informático. Pero en realidad, la información del remitente ha sido falsificada de manera que si el usuario responde al correo o pincha en el enlace que abre otra ventana simulada y da los datos que le piden -nombre de usuario, contraseñas…-, puede convertirse en víctima de la estafa y poner en peligro su intimidad y la de su propia empresa. El objetivo de este fraude es infiltrarse en el sistema informático de la organización.
Para evitarlo, quien reciba este tipo de correos, además de seguir las recomendaciones que se dan para evitar el phishing tradicional, debe ponerse en contacto con la persona o la organización de la que proceda el mensaje. Pero nunca ha de hacerlo utilizando los enlaces que incluye el e-mail sino por teléfono o en persona siempre que sea posible. También puede consultar la página web de la que supuestamente procede, pero en vez de hacer clic en el vínculo propuesto en el mensaje, el usuario ha de escribirlo en la ventana de direcciones del explorador. Aunque el correo parezca venir de fuentes fiables, si la información que contiene no ha sido solicitada por el usuario, no debe dar datos personales o confidenciales respondiendo a este tipo de mensajes.
En ocasiones llegan al correo e-mails que ofrecen un trabajo sencillo al receptor. A cambio, los remitentes le piden que envíe dinero o sellos a una dirección para que el interesado reciba el material necesario y empiece a trabajar. Se puede tratar de ensobrado de correspondencia, publicidad o fáciles trabajos manuales. Realmente se desconoce la identidad de quien lo envía y nunca hay que adelantar dinero aunque la cantidad demandada no sea demasiado alta.
Hay que desconfiar si el precio de un producto ofrecido por Internet es demasiado bajo
Otro de los timos que circula por la Red es la venta de vehículos de lujo a precio de ganga. Los estafadores enseñan el coche en una página web y dan motivos creíbles para ofrecerlo a tan bajo coste. Una de las excusas utilizadas, hay decenas, es que viven en el Reino Unido, les resulta muy difícil conducir por la izquierda así como vender allí el vehículo por la posición del volante. Después piden al interesado que envíe el dinero por el sistema de remesas y aseguran al comprador que recibirá el coche a través de empresas intermediarias. Por supuesto, el vehículo nunca llega.
También se da este tipo de estafas en las páginas dedicadas a la compraventa y subasta de artículos. Aunque en la mayoría de los casos las transacciones se realizan con total legalidad, siempre puede haber estafadores infiltrados que ponen a la venta artículos inexistentes a precios muy tentadores. Cuando el pujador gana la subasta, el vendedor contacta con él y le indica la forma de pago, frecuentemente a través del sistema de remesas. La víctima paga pero no recibe el producto. En estos casos, antes de comprar es importante consultar las políticas de protección al comprador que suelen tener los portales de subastas y recabar toda la información posible acerca del vendedor.
- A la hora de hacer una compra a través de Internet es aconsejable hacerlo en comercios electrónicos o páginas de subastas que ofrezcan confianza ya sea porque se han utilizado previamente o porque se cuenta con referencias favorables sobre ellos.
- Hay que desconfiar si el precio de un producto es demasiado bajo y no ofrece garantías.
- Para comprobar que un comercio es seguro el usuario puede ver si la dirección de Internet comienza por “https://”, es decir añade la “s” a la dirección tradicional.
- El reembolso es uno de los métodos de pago más seguros. Hay que huir de los pagos a través de remesas, que no deben realizarse nunca, o las transferencias bancarias.
- Si en el plazo establecido el ciudadano no recibe el producto ni una respuesta del vendedor y ha dado los datos de la cuenta bancaria debe ir al banco para que rechacen el cargo.
- En el caso de que el consumidor haya sido víctima de un fraude debe ponerlo en conocimiento de las autoridades.