El Auge de las Estafas y los Ciberdelincuentes

Hoy más que nunca, la seguridad en tecnología es muy necesaria. No son pocos los casos de estafas, phishing y diferentes delitos que se cometen a través de tecnologías. El otro día un compañero del gimnasio me explicó que le habían estafado unos 3.500 euros a través de Telegram. Esto me dio la idea de hablar sobre ello para explicar algunas estafas y qué medidas de seguridad recomiendo en estos casos.

En este caso, la estafa se produjo a través de un canal de Telegram donde prometían inversiones rentables mediante criptomonedas y, como suele ocurrir, a través de un enlace. El gancho era que había dentro usuarios que se utilizaban como señuelo, los cuales hablaban de las bondades de sus resultados.

Las estafas que suelen cometerse a través de diferentes tecnologías se realizan mediante canales de Telegram, red social muy utilizada por los ciberdelincuentes, por email, llamadas telefónicas y mensajes de texto. Generalmente todas suelen consistir en algo parecido y terminan en algún tipo de enlace web donde o bien te piden hacer login a través de alguna cuenta propia de email, o incluso acabas pagando alguna cantidad económica directamente. Analicemos un poco las diferentes modalidades que existen.

Por ejemplo, a través de mensajes de texto podemos recibir comunicaciones que vienen de empresas de mensajería como Correos, ya que es muy habitual que usuarios puedan estar esperando algún paquete por algún pedido que haya efectuado el propio usuario, lo cual hace más sencillo atrapar al usuario. Generalmente en este caso son mensajes que indican que el paquete ha sido retenido en alguna frontera, esperando un pequeño pago para ser desbloqueado y finalmente enviado. Este tipo de estafas para los atacantes son relativamente sencillas, ya que lo que hacen es enviar un enlace que te lleva a una web donde fácilmente cualquier persona con unos mínimos conocimientos de frontend, es decir, saber diseñar y maquetar una web, puede suplantar la identidad de empresas como Correos, UPS, MRW o cualquier compañía de repartos. Es muy fácil conseguir el logo y hacer un plagio de la web.

En lo primero que hay que fijarse siempre es en la URL, es decir, la dirección web, ya que generalmente no son del tipo www.mrw.es o www.correos.es, sino que puede ser del tipo www.cualquierpalabra-correos.es. En realidad es bastante fácil identificarlo a través de la URL, esta es una medida realmente importante a tener en cuenta. En cualquier caso, ante la duda lo mejor es coger el teléfono y llamar a la propia empresa de transporte, ya que con el nombre y apellidos es simplemente fácil identificar si existe algún tipo de envío a tu nombre y que exista algún tipo de problema. Si estáis interesados en ver un poco el funcionamiento de una estafa, recomiendo mucho ver el siguiente vídeo de S4vitar, quien se dedica a la ciberseguridad https://www.youtube.com/watch?v=X59ABp1nQY8&t=1s. En este vídeo se destapan a los estafadores y sirven finalmente toda la información en bandeja a la policía.

Otro tipo de estafas similares se hacen a través de mensajes de texto como si fuese tu propio banco. En este caso además han mejorado mucho las estafas, ya que algunas veces, como los móviles consiguen agrupar los remitentes, los estafadores se las ingenian para que el remitente sea exactamente el mismo. Personalmente he recibido más de uno de ING Direct. Además, los textos en este caso están bien profesionalizados, lo que hace fácil poder caer. Suelen avisar de que se ha hecho una transferencia de un importe alto para alarmarte, añadiendo un link para acceder a él y así accedas al banco introduciendo tu usuario y contraseña. Esto es muy peligroso porque en el momento que introduzcas esa información, el hacker se hace con tu contraseña del banco. Hay que decir que los bancos constantemente están avisando de que jamás envían mensajes ni emails con enlaces, para evitar así que la gente caiga en esas estafas. Los ciberdelincuentes en estos casos llegan a plagiar también la página donde se inicia sesión en el banco, pareciendo así la original.

Otra estafa bastante antigua, y en este caso presencial, es la de conocer a alguna persona que, en algún momento dado, tras ganarse la confianza y terminar hablando de a lo que se dedica cada uno, descubrimos que la persona se dedica a invertir. Como se ha ganado la confianza, es fácil que de manera disimulada nos termine por explicar con qué invierte y las rentabilidades que consigue. Esta historia la escuché a través de un amigo de mi hermano, que le pasó a su suegro. Este, ya jubilado y con cierto patrimonio, conoció a un individuo quien tras innumerables charlas le acabó explicando que invertía en caballos de carreras. Este tipo de estafa era antiguamente muy recurrente, no solo con caballos sino con otros productos algo distintos de lo habitual como pueden ser acciones u otros, ya que son productos con difícil acceso de información y poco transparentes, de manera que te tienes que fiar prácticamente del control por parte del estafador.

La estafa consiste en asegurar una rentabilidad elevada en poco tiempo, como puede ser un 20% o un 30% en el plazo de unos 3 meses. La persona terminó accediendo, facilitando unos 25.000 euros la primera vez. El estafador, pasados los 3 meses, devuelve el dinero y el interés prometido, lo que lleva a la persona finalmente a realizar otra inversión, en este caso con un importe mayor de 80.000 euros. Ahí es donde el estafador finalmente decide quedarse el dinero y dar continuamente excusas a la persona pasado el plazo. En la mayoría de casos el estafador termina por desaparecer y marcha a otra ciudad o incluso país para seguir con el mismo procedimiento.

Estafas más antiguas se hacían por email. Estas estafas solían venir del extranjero y era fácil identificarlas ya que utilizaban traductores automáticos y se notaba que estaba mal traducido. Ahora, gracias a la perfección de la tecnología, es fácil que ya estén bien escritos y apenas haya errores ortográficos o gramaticales.

Otro aspecto, y este más preocupante y actual, es el duplicado de tarjetas SIM. Atacantes pueden llegar a conseguir algún duplicado de tarjeta SIM llamando a las compañías de telefonía y suplantando la identidad del usuario, consiguiendo así que le envíen un duplicado de la tarjeta. En este caso, al introducirla en un nuevo móvil podrían acceder a toda la información del usuario finalmente.

Una estafa reciente que conozco se la hicieron a una empresa. Se trata de una empresa de reformas, y como cualquier empresa de este estilo, se intercambian emails para el envío de presupuesto, aceptación y envío de primera factura para realizar el primer pago. En este caso, los atacantes consiguieron hacerse con el usuario y contraseña del hosting donde se alojaba la web y los correos. De esta forma se entrometieron en el proceso entre que la clienta facilitaba los datos para la emisión de la primera factura. Los atacantes, al tener el control del hosting, terminaron manipulando la factura a la clienta cambiando el número de cuenta bancario, y borrando del hosting ciertos emails enviados para que así la empresa no lo detectara. Finalmente la clienta hizo el pago a la cuenta del atacante, en este caso era del BBVA, quienes acto seguido hacían desaparecer el dinero mediante otra transferencia al extranjero.

Es cierto que en este caso hubo algunos indicios por los cuales ya se podría haber sospechado de cierta estafa, como por ejemplo el hecho de haber recibido dos emails casi seguidos iguales, y también que los atacantes se abrieron una cuenta de Gmail de la clienta con el mismo nombre pero terminando en "a". Ni la clienta ni la empresa se dieron cuenta en ese proceso y el resultado obviamente fue la pérdida de 15.000 euros por parte de la clienta.

Ni que decir tiene que cualquier tipo de persona, empresa, web, email, enlace, mensaje o por el canal que sea, que te proponga una rentabilidad elevada en poco tiempo, tiene todos los números para ser una estafa.

Algunas de mis recomendaciones son las siguientes. Debido a estos tiempos, aconsejo tener un pensamiento proactivo y nunca reactivo. Es decir, si quiero algo, lo busco yo por mi cuenta, me informo, analizo, consulto opiniones, y en ese caso finalmente ejecuto. Ser reactivo en estos tiempos no es buena idea, y a ser reactivo me refiero a que la información te llegue por algún canal, sea el que sea, y que de pronto muestres interés y acabes accediendo. Desde hace mucho tiempo hago lo mismo con las llamadas telefónicas. De hecho, ya no cojo ni un solo número desconocido a no ser que esté esperando algo concreto y sepa que me pueden llamar. De esta forma evitamos además perder un innumerable tiempo valioso, evitando muchas llamadas de publicidad y venta de servicios, dado que de poco sirven las leyes actuales contra este tipo de acciones.

Otra de mis recomendaciones es abrirse una cuenta de email exclusiva para banco y posibles plataformas de inversiones, y no utilizarlo nunca para nada más. Un email cifrado, e incluso recomendaría fuera de plataformas de tanto tránsito como Google o Microsoft. En este caso recomiendo Proton Mail, Tuta o Mailbox por ejemplo, con gran enfoque en la privacidad. Además, en este caso es importante no abrir el email nominativo, es decir, no te crees un email que tenga tu nombre o apellidos en el mismo, de forma que quede desvinculado de la persona. Puede ser un nickname o lo que sea, como digo, que no dé fácilmente a entender qué persona es.

Ni que decir tiene que la doble verificación es un paso totalmente obligado, especialmente para bancos y plataformas donde se mueva dinero. De esa forma dificultamos mucho más el posible ataque al depender del dispositivo móvil con reconocimiento facial.

En procesos de emails, especialmente en empresas, hay que vigilar mucho los nombres de los remitentes, y sospechar como mínimo cuando se pueden llegar a recibir dos emails prácticamente iguales con diferencias de pocos minutos u horas. Muy especialmente si son emails que contienen enlaces o bien comunicaciones que tienen que ver con procesos de pagos. En esos casos, antes de hacer nada es importante comunicarse con los departamentos de IT, quienes están mucho más al día de todo este tema que trabajadores de otros departamentos.

Todas mis recomendaciones son realmente importantes, pero tener una actitud proactiva y no reactiva lo veo esencial, porque de esa manera nuestro cerebro se acostumbra a estar alerta siempre, e incluso para nuevas o posibles ciberestafas que vayan surgiendo con el paso del tiempo.

Es muy importante tener en cuenta que si el usuario accede a algún enlace en el que introduzca su usuario y contraseña, y no sea la web oficial del banco o la plataforma que fuera, y el ciberdelincuente se hace con el acceso y consigue hacer transferencias, el banco nunca responderá debido a que no han accedido al banco hackeando al propio banco. Por eso se debe tener especial atención. Muchos enlaces incluso pueden llevarte a webs del estilo de Google como para facilitar el ingreso a la web mediante el correo y contraseña de Google del propio usuario para hacerse con el correo del usuario, y de esa forma podrían hacerse con toda las contraseñas.

Espero que con este artículo te haya podido ayudar y aclarar dudas sobre un tema tan importante hoy en día como es este. Desde luego, pienso que las leyes deberían ser mucho más estrictas y duras con estos temas para evitar desgracias como que gente que ha estado toda una vida ahorrando, llegue a perder todo su dinero.