La ciberdelincuencia, en auge en España desde que se desató la crisis sanitaria del coronavirus, se ha cobrado en los últimos días varias víctimas en Ciudad Real, personas que han facilitado sus claves de acceso a su cuenta, al recibir un SMS falso de su banco (BBVA, Unicaja y Globalcaja, entre las entidades afectadas), tan bien clonado que aparecía en el mismo hilo de comunicación habitual de su entidad financiera.
Sin apenas darse cuenta, clicaron, confirmaron sus datos, y días después descubrieron, al menos en una de las denuncias, que alguien había cargado a su cuenta una compra en el extranjero de unos 105 euros. Esta persona, y alguna más que ha denunciado esta estafa telemática, ha sido víctima de un ‘smishing’, una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc) con el objetivo de robarle información privada o realizarle un cargo económico.
Estamos ante “una estafa perfecta”, confirman desde la comisaría de la Policía Nacional que cada semana recibe nuevas denuncias de este tipo, difíciles de investigar. El goteo constante ha obligado a los cuerpos y fuerzas de seguridad del Estado a especializarse, dada la cantidad de engaños, cada vez más sofisticados, que proliferan en la red con delincuentes que operan desde cualquier país.
La estafa de los códigos QR
Otra modalidad de engaño que preocupa ahora es la estafa de los códigos QR, que están empezando a aparecer en sitios públicos, descargarlos supone un grave riesgo porque permite a los delincuentes informáticos tomar el control de un dispositivo electrónico de otra persona.
El primer caso detectado en España de esta nueva modalidad de ‘phishing’ fue en Málaga el mes pasado. Sobre este engaño el Instituto Nacional de Ciberseguridad también pide precaución ante un tipo de fraude, impulsado por el uso de estos códigos durante la pandemia.
Autoprotección
Más que nunca la autoprotección para evitar estos delitos es clave. Los delincuentes profesionales, que habitualmente actúan desde el extranjero, realizan de forma masiva envíos de correos electrónicos, mensajes de texto o llamadas telefónicas a sus futuras víctimas.
La estafa se pretende realizar mediante la solicitud de un pago de dinero o la obtención de datos personales y/o bancarios. Para ello alegan cualquier excusa, como cobrar un premio de lotería, una herencia, prestarle un servicio en nombre de las autoridades gubernamentales, solucionar un problema informático, etc.
Finalmente, la estafa se consuma cuando se sufre un perjuicio económico, ya sea por haber facilitado datos personales o bancarios o por el envío del dinero solicitado.
Los consejos de la OCU para prevenir el ‘phishing’
Los ciberdelincuentes cada vez se las ingenian más para colarse en nuestros ordenadores, móviles o tabletas con malas intenciones. La Organización de Consumidores (OCU) recomienda en su página web familiarizarse con el ‘phishing’, anglicismo que sirve de paraguas a las técnicas más utilizadas últimamente para robar la información personal y los datos bancarios de los internautas más confiados.
¿Qué es el phishing?
El phishing es una técnica de engaño que utilizan los piratas informáticos para robar nuestros datos personales y bancarios a través de la página web falsa de alguna institución oficial como la Agencia Tributaria, nuestro banco o cualquier empresa o tienda que consideraríamos de total confianza.
En primer lugar, nos llega un mail, SMS, whatsapp o similar con una excusa cualquiera (hemos ganado un concurso, nos han obsequiado con cupones de descuento en una tienda o supermercado, tenemos que confirmar nuestra cuenta bancaria porque ha habido problemas con una transferencia o pago…) y que contiene un enlace que redirige a una página web falsa que simula ser la oficial.
¿Qué hacer cuando has sido víctima de phishing?
Si pese a todas las precauciones crees que has podido caer en la trampa o, más literalmente, has picado el anzuelo y has dado datos personales en alguna página fraudulenta… ¿qué debes hacer?
Como norma general, ante una sospecha de phishing, debes:
Cambiar la contraseña del servicio suplantado (cuenta de correo, acceso al servicio, etc)
Avisar a los posibles bancos afectados del fraude.
Muchos tipos de phishing
Tu banco, Correos, Amazon, Netflix, la Agencia Tributaria, una oferta de trabajo, una página donde has comprado algo o contratado un servicio… Son muchas las excusas y los tipos de engaño que usan para hacerte «picar«: la OCU te da algunas recomendaciones de cómo proceder según el tipo de engaño del que seas víctima.
Recibes una comunicación que pretende ser del banco, indicándote que para poder seguir usando la banca online necesitan verificar tu identidad y te proponen un enlace donde a continuación te piden tus claves de acceso a la banca online.
Si crees que han suplantado a tu página del banco y has dado información financiera ponte en contacto inmediatamente con tu banco para hacérselo saber.
Te llega un correo «profesional» Si te llega un correo de un desconocido con un cargo importante invitándote a una reunión por Teams, y te dejan un enlace con el que logarte con tu email y password de la empresa. Con esos datos, podrían acceder al sharepoint o servidores de tu empresa y acceder a información sensible y estratégica.
Si el engaño te ha llegado a través del email corporativo y has proporcionado tus credenciales, habla con el departamento de informática lo antes posible, ellos te darán las pautas a seguir.
Si te llega un falso email o mensaje SMS de Correos en el que te piden que debes pagar un pequeño precio por una entrega de un paquete, y resulta que has dado tu número de tarjeta…
Anula esa tarjeta cuanto antes.
Llama a tu banco y ellos te darán las pautas a seguir.
Si recibes un correo de Paypal. Si te ha llegado un supuesto email de Paypal informándote de un cuantioso pago realizado con tu cuenta y te piden hacer clic en un enlace para anularlo… pero claro, previamente debes proporcionar tus claves de acceso.
En ese caso es muy importante cambiar la contraseña de ese servicio, en este caso Paypal, cuanto antes.
Si eso no fuera posible, deberías ponerte en contacto con la compañía para informar del fraude o, avisar al banco asociado a tu cuenta de Paypal o servicio correspondiente.
