Los ciberdelincuentes buscan constantemente formas de ganar dinero a expensas de nosotros. Los individuos y las organizaciones a menudo somos víctimas de fraudes que involucran varias formas de técnicas de “ingeniería social”. El perfil de los delincuentes que buscan robar información sensible puede ser desde un solitario hacker hasta organizaciones delictivas que funcionan como empresas con recursos tecnológicos avanzados.
Una modalidad de criminalidad que lleva muchos años es la ciberestafa. A pesar de que los usuarios la conocen, seguramente la mayoría de personas hemos sido víctimas, o por lo menos en más de una ocasión, hemos sufrido un intento de engaño. A pesar de ser muy vieja esta modalidad, sigue muy vigente. Se estima que casi el 90% de los ataques de los delitos informáticos son las ciberestafas, donde la información sensible se obtiene de una persona con intenciones de afectar su patrimonio o para lograr la intromisión a un sistema de información al cual el usuario tiene acceso.
Los métodos usados por los ciberdelincuentes son muy variados: desde un correo electrónico suplantando a una entidad bancaria hasta un simple mensaje SMS ofreciendo un empleo con un atractivo salario o un supuesto bloqueo de la cuenta del banco. Una modalidad común del ciberestafador busca engañar a una víctima con un mensaje de WhatsApp que incluye un enlace, que al ser pulsado descarga en el dispositivo un software malicioso con el cual roba datos confidenciales del usuario, como los números de su tarjeta de crédito para posteriormente realizar compras a su cargo. El delincuente también puede utilizar la información de la víctima para crear con ella perfiles falsos y, mediante estos, estafar a otras personas u obtener otros beneficios.
Pero no solo estos son los riesgos que corre el usuario. Ahora con el teletrabajo, las organizaciones para las cuales labora un empleado también pueden entrar en el campo de los afectados. Por ejemplo, por medio de la conexión que tenga el funcionario con su empresa (y que ha sido infectado con malware), pueden los delincuentes ingresar a la infraestructura de la compañía, con las graves consecuencias que esto puede traer.
La esencia de un ataque de ciberestafa consiste en afectar la psicología de la persona y manipular su percepción para obtener la información necesaria. Para esto utilizan diferentes técnicas de “Ingeniería Social”, de esta manera pueden obtener la información. Modalidades existen muchas, por ejemplo, los sitios bancarios falsos que piden reactivar cuentas, verificar cobros, etc. También están las estafas amorosas, estafas de inversión y las de compras falsas. Han tenido mucho auge en estos días los mensajes SMS con enlaces como: “Tienes un comparendo pendiente de pago. Paga en línea con este link...”
Las principales técnicas que utilizan los ciberdelincuentes para acumular información sensible son los denominados 'phising', 'smishing' y 'vishing'.
El llamado “phising” hace referencia, en la actualidad, a los correos electrónicos que suplantan la identidad de entidades bancarias y otros organismos.
El “smishing” o fraude por mensaje de texto, es una variante del phishing en la que un atacante usa un atractivo o sugestivo mensaje de SMS para convencer al destinatario de que haga clic en un enlace, que le envía al atacante información privada o descarga malware a su teléfono. Otro tipo de mensaje comúnmente pedirá (generalmente con un sentido de urgencia) que se haga un clic en un enlace a un sitio web o que se llame a un número de teléfono para, por ejemplo, ‘verificar’, ‘actualizar’ o ‘reactivar’ la cuenta del banco. El enlace del sitio web conducirá a un sitio web falso y el número de teléfono a un estafador que se hace pasar por la empresa legítima.
El "vishing" es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima. En los últimos tiempos ha tomado relevancia este tipo de ataque por el aumento de casos en los que los ciberestafadores, por ejemplo, se hacen pasar por familiares, mediante una supuesta línea celular nueva, piden un pequeño ingreso de dinero, aduciendo que están ante una situación o problema que necesita una solución inmediata.
Las bandas criminales están cada vez más organizadas y tienen un mayor poder, y esto sumado al hecho de que todo el mundo tiene acceso a un dispositivo electrónico, crea el ambiente propicio que los hace vulnerables. Como hemos mencionado, el objetivo de un ciberdelincuente es obtener datos personales y credenciales de los medios de pago, como número de tarjetas o claves de acceso a la banca electrónica, contraseñas, etc. Sin embargo, también están los que buscan tener acceso a las organizaciones por medio de sus empleados y utilizando las técnicas anteriormente descritas.
Se ha visto que varias compañías grandes, a pesar de invertir esfuerzo y dinero para la seguridad, han sido vulneradas utilizando ingeniería social mediante el engaño a empleados de las empresas (2). Métodos como la conocida estafa BEC (Business Email Compromise), o fraude del CEO, en donde un empleado de cierto nivel de responsabilidad recibe un mensaje o correo de su CEO en el que de forma personal y confidencial le solicita transferencias o datos importantes sobre la empresa y que, como siempre, lleva el sello de una urgencia, entonces al juntar la importancia y la premura ‘despista’ al empleado sobre el origen del email y hace que fácilmente envíe la información o realice la transacción solicitada. Otra modalidad consiste en que alguien accede al correo electrónico de un proveedor o el del cliente propio y es capaz de modificar las facturas cambiando los valores o el número de cuenta a consignar. Y así, existen variadas modalidades.
Actualidad
Como se mencionó anteriormente, el porcentaje de estafas constituyen el 90% de los ciberataques, pero solo el 2.5% terminan en una condena. Según la asociación de víctimas, la razón fundamental es porque no se tiene una legislación preventiva. Por otro lado, tenemos que hay muy poca o total carencia de campañas de información, sensibilización y divulgación de este drama personal y empresarial que va en un aumento cada año, además se anexa el absoluto abandono de las víctimas que sufren las estafas (3).
Los delincuentes aprovechan muchas veces momentos especiales del mercado o de la sociedad para atraer víctimas, eventos como el Black Friday, la navidad o acontecimientos del momento sirven de fondo para los ilícitos, como en el pasado suceso de la Copa Mundial de Fútbol en Qatar donde aparecieron páginas falsas que ofrecían desde entradas o 'merchandising' del evento como ofertas de camisetas del equipo favorito, fundas de teléfonos con los jugadores más populares o los balones firmados, además de estafas NFT. Quienes cayeron en este engaño, después de ingresar los datos y transferir el dinero para la compra perdieron el dinero y sobre todo la información personal (1).
Muchos acontecimientos artísticos y deportivos tienen ahora la modalidad de comercializar y presentar las entradas o boletos de manera digital, esto se presta para la estafa o para permitir la instalación de software malicioso en los dispositivos.
Nubes negras en el horizonte
El futuro de las ciberestafas no es para nada halagador, como se mencionó, a medida que la tecnología evoluciona, también lo hacen las técnicas y los recursos de los ciberdelincuentes que los hacen ser más poderosos.
Un capítulo especial lo tendrán los dispositivos del internet de las cosas (IoT) y los ataques híbridos que combinan la acción de humanos y máquinas. A raíz de la pandemia y el incremento del trabajo remoto con todos sus beneficios, también puede traer problemas de seguridad de la información pues al trabajar con conexiones permanentes y teniendo dispositivos sin o con escasas medidas de protección necesarias y que seguramente se ejecutan en la misma red que utilizan las personas para acceder a sus equipos corporativos, puede presentar un riesgo significativo para la organización.
Por otro lado, seguramente se verá un incremento de estafas 'crypto', en su mayoría explotando la popularidad de los tokens no fungibles o NFT: la oferta de obtener dinero fácil por medio de apuestas con el fin de ganar criptomonedas u obras de arte digital, por ejemplo. Asimismo, se ubica la moda de las criptoinversiones, donde los estafadores crean monedas aparentemente reales y convencen al usuario para que invierta en ellas con la promesa de una inmensa rentabilidad, pero terminan siendo un gran fraude. Veremos que la expansión y auge del metaverso también podrá traer inconvenientes y es que, a medida que el metaverso se expande, también lo hacen los riesgos. Ya no sabremos si con las personas que tengamos una relación en este mundo virtual son quien dicen ser o ni siquiera si son reales.
Los ataques y disputas políticas entre los pueblos serán otro foco. La reciente guerra entre Rusia y Ucrania nos ha demostrado que la guerra es ahora híbrida, una combinación entre lo físico y lo virtual. Los ataques a la infraestructura digital con virus y malware son tan graves, sino más, que los ataques físicos con bombas y disparos, por lo tanto, la realidad de los riesgos de ciberataques por motivos geopolíticos son una realidad en el futuro.
Desafortunadamente, existe un déficit de personas que sean expertas en ciberseguridad, según un estudio de Cybersecurity Workforce Study (4), de hecho, el déficit de expertos en ciberseguridad es tan alto que el 70% de las organizaciones no tienen cubierto el puesto de encargado en esta área. Según este estudio, hacen falta cerca de 3.5 millones de personas especializadas en ciberseguridad en el mundo y la demanda de profesionales del sector sigue aumentando.
El futuro de las ciberestafas al parecer convivirá con nosotros. Los ciberdelincuentes están siempre al acecho de sus víctimas y de encontrar nuevas formas de engañarlas, se aprovechan del desconocimiento y de la debilidad de las personas, pero también de las vulnerabilidades de la tecnología y de los dispositivos que usamos a diario. Es deber tanto de las personas como de las compañías destinar energías y recursos a la prevención de estas situaciones que pueden constituir, además de un dolor de cabeza, muchas pérdidas económicas.
Para disminuir el riesgo y evitar ser víctimas de los ciberestafadores son importantes las recomendaciones que muchas veces hemos escuchado y que a menudo pasamos por alto: tener contraseñas compuestas (combinaciones de letras, signos y números evitando usar datos obvios), cifrar la información si ésta va a permanecer en un archivo, copias de seguridad, cambiar contraseñas periódicamente, tener canales de comunicación seguros, no realizar compras o hacer pagos conectados a redes públicas, transferir información de manera cifrada (especialmente si se trata de datos sensibles), desconfiar de mensajes que pidan conexión mediante un link o que soliciten responder con urgencia un mensaje.
Usar los certificados digitales basados en blockchain, por ejemplo, ayudará a realizar de manera segura las transacciones virtuales en el metaverso.
Permanecer atentos a todo mensaje que parezca sospechoso. Analizar la información que solicitan teniendo en cuenta que las verdaderas entidades no piden información personal o de datos bancarios, número de las tarjetas, etc. Igualmente, es importante poner especial atención a la gramática y hasta la ortografía de los mensajes. Además de estar alerta, lo más importante es divulgar y prevenir. Todo lo anterior podrá ayudar a disminuir el riesgo de que nosotros o nuestra organización sea víctima de los delincuentes. Tomar todas las medidas recomendadas de seguridad por simples y molestas que parezcan es la mejor recomendación. Miremos al horizonte y esperemos que las nubes se disipen.
Si deseas tener siempre a la mano el artículo escrito por nuestro ingeniero Oscar Rodríguez, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
Referencias:
[1] https://www.europapress.es/portaltic/ciberseguridad/noticia-ciberestafas-mas-popularesaprovechan-mundial-qatar-2022-robar-dinero-datos-personales-20221118114852.html
[2] https://www.welivesecurity.com/la-es/2022/12/23/hechos-resumen-que-paso-2022- ciberseguridad/
[3] https://asociacionaivc.com/
[4] https://www.isc2.org/Research/Workforce-Study#