Ciberestafa

La ciberestafa es una técnica de ingeniería social en la que los atacantes recopilan información haciéndose pasar por una institución legítima o un amigo. Las ciberestafas tienen como objetivo engañar a las personas para que hagan clic en un vínculo, abran un archivo adjunto o revelen información confidencial, como información de identificación personal, detalles bancarios y crediticios o contraseñas. Los agresores utilizan el correo electrónico, la mensajería instantánea, las redes sociales e incluso las llamadas telefónicas para atacar a las personas. La ciberestafa puede ocurrir en el trabajo o en su vida personal.

Informes recientes de la industria muestran que hasta el 94 % de las organizaciones son víctimas de ataques de ciberestafa¹ y que entre el 22 % y el 36 % de todas las filtraciones de datos involucran ciberestafa². En el Informe de delitos en internet de 2021 del FBI, se registraron 323 972 víctimas de ataques de ciberestafa en 2021³.

Cómo identificar y protegerse de las ciberestafas

¿Cómo puede estar al tanto de las ciberestafas y protegerse de ellas? Hay cinco indicadores comunes en las ciberestafas, y son los siguientes:

1. Es demasiado bueno para ser verdad.
   
   • Tal como un vendedor en un concesionario de autos trata de venderle un cacharro, si la oferta parece demasiado buena para ser verdad, usualmente lo es.
2. Hay un fuerte sentido de urgencia.
   
   • Si hay una intensa sensación de urgencia, lo más probable es que se trate de una ciberestafa. Los atacantes crean una sensación de urgencia para engañarle y que reaccione al mensaje y caiga en la trampa en lugar de pensar de forma lógica. Las organizaciones confiables dan a sus usuarios mucho tiempo para encargarse de sus cuentas, y nunca les pedirán que divulguen información personal por correo electrónico. Si tiene dudas, visite la fuente directamente en lugar de hacer clic en el vínculo del correo electrónico.
3. Hipervínculos falsificados.
   
   • Los atacantes usan hipervínculos falsos o con una URL distinta a la que se muestra en el vínculo para engañar a las personas, a fin de que hagan clic y visiten sitios web peligrosos. (Por ejemplo: zionzbank.com en lugar de zionsbank.com). En caso de duda, coloque el cursor sobre el vínculo para visualizar la verdadera URL.
4. Archivos adjuntos arbitrarios o inesperados.
   
   • Si ve un archivo adjunto inesperado o que no tiene sentido, ¡no lo abra! Los atacantes a menudo cargan en los archivos adjuntos programas para el secuestro de datos [ransomware] u otro programa malicioso que comenzará a atacar su sistema de inmediato.
5. Remitente extraño.
   
   • Si algo parece fuera de lo común o extraño, ya sea de alguien que conozca o no, no lo abra. A menudo, los atacantes crean cuentas de correo electrónico con el nombre de alguien que usted conoce para que su nombre figure en la línea “De”.

Otras formas de ciberestafa

Aunque lo más habitual es que se presente en forma de correo electrónico, la ciberestafa puede producirse de muchas maneras. A continuación se presentan algunas situaciones hipotéticas que muestran diversas ciberestafas. Aunque son ficticias, estas historias hacen hincapié en estrategias y técnicas reales utilizadas por los atacantes.

• John no reconoció el número de teléfono, pero contestó la llamada de todos modos. La persona que lo llamó dijo ser un representante de su banco. Parecía profesional y necesitaba verificar con urgencia alguna actividad sospechosa en la cuenta de John, quien rápidamente proporcionó su información y se le dijo que el problema estaba resuelto. Siguió con su día, pero más tarde se dio cuenta de que había sido víctima de un ataque de ciberestafa por voz.

  • Ciberestafa por voz: La ciberestafa por voz [vishing] es una forma de ciberestafa que utiliza llamadas telefónicas para engañarle y hacer que revele información personal.

• Stephanie escuchó sonar su teléfono y vio un mensaje de texto que parecía ser de su proveedor de telefonía móvil. El mensaje advertía de una factura vencida y amenazaba con cancelar su servicio si no hacía un pago inmediato. El mensaje proveía un vínculo que la llevaba a una página de pagos. Ingresó los datos de su tarjeta, aliviada de haber resuelto el problema. Más tarde, se dio cuenta de que su tarjeta había sido utilizada de manera fraudulenta. Había sido víctima de un ataque de ciberestafa por mensajes de texto.

  • Ciberestafa por mensajes de texto: La ciberestafa por mensajes de texto [smishing] consiste en mensajes de texto o SMS que le inducen a revelar información confidencial.

• Jonathan estaba navegando por un sitio web y vio un anuncio que ofrecía un producto gratuito. Todo lo que tenía que hacer era pagar el embalaje y el envío. Deseoso de aprovechar esa oferta por tiempo limitado, siguió el vínculo que lo llevó a un sitio web donde ingresó su información. El artículo no llegó en el plazo esperado y, cuando Jonathan intentó hacer un seguimiento, no pudo encontrar ninguna información sobre la empresa o el artículo que había comprado. Fue víctima de cebo.

  • Cebo: El cebo [baiting] es una forma específica de ingeniería social en la que el atacante promete algo a cambio de un pequeño pago. Por lo general, es algo demasiado bueno para ser verdad y está destinado a obtener su información financiera y personal.

• Julie vio un póster mientras caminaba por la calle. Anunciaba entradas con descuento para un concierto local al que había querido asistir. Rápidamente escaneó el código QR en el cartel que la dirigía a un sitio para comprar los boletos. Como estaban casi agotados, Julie compró un boleto. Cuando no pudo acceder al boleto más tarde ese día, se dio cuenta de que había sido víctima de un ataque de ciberestafa por códigos QR.

  • Ciberestafa por códigos QR: Esta forma de ciberestafa utiliza códigos QR [de ahí quishing en inglés, en referencia a QR-phishing] para engañar a las personas a fin de que proporcionen información confidencial o descarguen software dañino en sus dispositivos, así como para robar información financiera. Se escanea un código QR fraudulento que dirige a los usuarios a un sitio web malicioso diseñado para robar credenciales o vulnerar cuentas y dispositivos.

Consejos adicionales para protegerse contra las ciberestafas

Verificación en dos pasos

Para evitar ser susceptible a ataques de ciberestafa u otras formas de robo de credenciales, asegúrese de tener habilitada la autenticación multifactor (como la verificación en dos pasos) en sus cuentas. Además, puede activar las alertas de seguridad que le notificarán si su cuenta se está utilizando en una computadora o dispositivo en el que nunca ha iniciado sesión.

Tenga cuidado con las redes sociales

Los ataques de ciberestafa son más comunes en los correos electrónicos, pero pueden ocurrir en cualquier cuenta que tenga una función de mensajería, incluidas las redes sociales. Independientemente de dónde haya iniciado sesión, ¡esté atento a las señales comunes de ataques de ciberestafa!

Qué hacer si ha sido víctima

Si sospecha que ha sido víctima de un ataque de ciberestafa, es importante que actúe rápidamente para minimizar las posibles consecuencias. Primero, cambie cualquier contraseña que pueda haber sido vulnerada. Asegúrese de que la contraseña sea segura y única; lea cómo crear contraseñas seguras aquí. Si aún no lo ha hecho, asegúrese de habilitar la autenticación multifactor o de dos factores (MFA/2FA) en los dispositivos y las cuentas afectados. Si lo desea, revise su computadora o dispositivo en busca de virus o programas maliciosos. Si proporcionó alguna información financiera, comuníquese con su banco o emisor de tarjeta y avíseles de la posibilidad de fraude. Por último, monitoree sus cuentas para detectar cualquier actividad no autorizada o sospechosa.

Usted es el escudo

La defensa más importante contra los ataques de ciberestafa es la educación y la vigilancia. Aprender a reconocer las tácticas comunes utilizadas por los atacantes y mantenerse alerta le ayudará a evitar caer en estas estafas. Recuerde: verifique siempre la autenticidad de las solicitudes de información personal, tenga cuidado con las solicitudes u ofertas inusuales que sean demasiado buenas para ser verdad y no ceda a una sensación de urgencia percibida. Usted es el mejor escudo para mantener su información a salvo.

Ejemplos de ciberestafa en el mundo real

Ciberestafa: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/the-top-5-phishing-scams-of-all-times/

Ciberestafa por voz: https://www.terranovasecurity.com/blog/examples-vishing

Ciberestafa por mensajes de texto: https://caniphish.com/what-is-smishing#Examples

Cebo: https://www.palisade.email/resources-post/understanding-what-a-baiting-attack-is-examples-and-protection

Ciberestafa por códigos QR: https://www.hbs.net/blog/quishing/