El Black Friday y el Cyber Monday mueven miles de millones de dólares anualmente. Son fechas en las que las compras por internet cobran mucho protagonismo, motivo por el que los ciberdelincuentes afinan sus estrategias para hacerse con los datos bancarios y el dinero ajeno.
Como recuerda la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), integrada en el Departamento de Seguridad Nacional, el Black Friday “es uno de los días de compras más lucrativos del año para los minoristas en tiendas físicas y en línea”. Por eso advierte, en alusión a los ciberestafadores: “Los compradores no son los únicos que buscan ofertas”.
Las estafas pueden llegar a tu correo electrónico, activarse a través de sitios web, o pueden entrar con mensajes directos a tu celular.
Ojo con las ofertas increíbles de Black Friday o Ciber Monday
Lanzarnos a la caza de ofertas y rebajas de ese producto que anhelamos desde hace tiempo puede que nos haga bajar la guardia frente a los estafadores. El primer consejo apela al sentido común: si es demasiado bueno como para ser cierto, desconfía.
La CISA explica que los delincuentes utilizan diferentes tácticas para engañar al comprador y robar sus datos personales, sobre todo bancarios. Los estafadores pueden hacerse pasar por una reconocida compañía, publicitar una falsa rebaja de un determinado producto o supuestamente sortear ese teléfono inteligente por el que todo el mundo suspira.
Esas son algunas de las formas que utilizan los estafadores y que llegan, sobre todo, por mensajes de texto y email. Pueden ser mensajes genéricos o personalizados buscando generar más confianza en la posible víctima. También podemos encontrarlos en las redes sociales y en WhatsApp. Suelen ser oportunidades que aparecen de repente, pero con las que hay que tener mucho cuidado.
La más usual y conocida es el phishing, que ocurre cuando un estafador se hace pasar por otra persona u organización con la intención de conseguir, sobre todo, los datos bancarios de su objetivo.
¿Qué es el phishing? Ataca por email o sitios web
Según la CISA, el phishing es “un intento de un individuo o grupo de solicitar información personal de usuarios desprevenidos mediante el empleo de técnicas de ingeniería social”.
Estas “técnicas de ingeniería social” aplicadas por los ciberdelincuentes consisten en “utilizar la interacción humana” para obtener la información que les interesa a través del envío de correos electrónicos “ de suplantación de identidad diseñados para que parezcan enviados por una organización legítima o una persona conocida”, explica la CISA.
Es decir, el atacante puede parecer modesto, humilde, respetable, hacerse pasar por organismos oficiales y empresas “e incluso ofrecer credenciales para respaldar esa identidad” y poder así “reunir información suficiente” para lograr su objetivo.
El organismo estadounidense advierte que estos mensajes electrónicos, que suelen llegar por email, “a menudo intentan atraer a los usuarios para que hagan clic en un enlace que lo llevará a un sitio web fraudulento que parece legítimo”.
Una vez ahí, advierte, “se le puede pedir al usuario que proporcione información personal, como nombres de usuario y contraseñas de cuentas, que pueden exponerlos aún más a compromisos futuros”.
Este tipo de ciberestafa no es exclusiva del correo electrónico. La empresa responsable de Avast, uno de los antivirus más conocidos del mercado, recuerda que este tipo dephishing lo podemos encontrar también en páginas que copian la estructura una web en la que confiamos, buscando que bajemos la guardia para que facilitemos así los datos que soliciten.
Sobre las redes sociales, Avast advierte también de que “algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos”.
“Otros crean perfiles falsos y los utilizan para engañar a sus víctimas”, añade.
¿Cómo detectar un intento de phishing en Black Friday y Cyber Monday?
Nadie está a salvo de caer en un intento de phishing. Para evitarlo, la CISA recomienda no revelar información personal o financiera a través del correo electrónico.
También aconseja que cuando busquemos una página para comprar algún producto, nos fijemos en que la dirección web -también conocida como URL - “comience con 'https' [con la s incluida], una indicación de que los sitios son seguros, en lugar de 'http' ”.
Y sugieren que busquemos el icono del candado cerrado delante de la dirección web, “una señal de que su información estará encriptada”. Este es un ejemplo:
Más sobre Detector de Mentiras
¿Morgan Freeman pidió que dejáramos de hacernos pruebas del coronavirus?
¡Ojo! El movimiento antivacunas quiere convencerte de que las celebridades solo mueren por las vacunas contra el covid-19
Chequea antes de compartir: elDetector de Univision apoya la Semana Nacional de la Alfabetización en Noticias
Empleo, pandemia y abastecimiento: ¿tienen base las cifras que da Biden sobre su primer año de gobierno?
Y, si aún así no estamos convencidos, podemos verificar la identidad de la empresa comunicándonos directamente ella.
Recuerda, si es demasiado bueno como para ser cierto, activa todas tus alarmas.
Po eso la CISA también recalca que existen una serie de características que nos tienen que hacer sospechar sobre la intención del mensaje, email o llamada telefónica que recibamos para evitar así caer en las trampas de los ciberdelincuentes:
También por teléfono: smishing y vishing
No todo es por el email y la laptop, nuestro celular también es objetivo de las ciberestafas.
En la modalidad conocida como vishing (abreviatura de voice phishing) el ciberdelincuente busca convencer telefónicamente a las víctimas para que revelen información sensible (de nuevo los datos bancarios son el objetivo último).
En cuanto al smishing, recibimos un SMS en el que se pide que se pinche en el enlace o se descargue un archivo. Al hacerlo se baja un malware en el teléfono que puede captar información personal y enviarla al atacante. Si se cae víctima de alguna de estas dos modalidades, la CISA recomienda seguir los mismos pasos que si se ha sufrido phishing.
¿Qué hacer si has sido víctima de una ciberestafa?
A pesar de las advertencias y el celo que pongamos en evitar caer en uno de estos ataques, podemos caer en la trampa.
Si eso sucede, la CISA recomienda, en el caso de que sus cuentas financieras puedan verse afectadas, ponerse en contacto con el banco “de inmediato” y cerrarlas, así como estar atentos a movimientos o cargos inexplicables.
En el caso de que se haya revelado alguna contraseña, aconsejan “ cambiarla inmediatamente” en la cuenta comprometida y en el resto de servicios en los que también se utilizaba, no volverla a emplear en el futuro. Además, recomiendan denunciar el ataque en la policía.
Por último, si la estafa afecta a más de una persona, es bueno comunicarse con ellas para que tomen las medidas comentadas.
Fuentes
Univision Noticias. "Fue una decisión muy difícil": JBS pagó a piratas informáticos en bitcoins el equivalente a 11 millones de dólares”. 10 de junio de 2021.
Univision Noticias. Phishing: Todo lo que necesitas saber de los ataques cibernéticos y cómo proteger tus dispositivos. 30 de diciembre de 2017.
Univision Noticias. El 'phishing', la técnica que usan los delincuentes para estafar a los compradores en línea. 3 de diciembre de 2020.
Univision Noticias. DMV de California alerta por intentos de phishing para extraer datos personales. 2 de marzo de 2021.
Univision Noticias. Estudiantes y empleados universitarios están siendo estafados. 2 de abril de 2021.
Comisión federal de comercio. Esquema de phishing focalizado en los beneficios de seguro de desempleo e información de identificación personal. 4 de agosto de 2021.
Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Evitando la ingeniería social y los ataques de phishing. Actualizado el 25 de agosto de 2020.
CISA. Informar sobre phishing.
Grupo de Trabajo Anti-Phishing (APWG). Sobre nosotros.
APWG. Informe sobre la actividad de phishing en el primer trimestre de 2021. 8 de junio de 2021.
Instituto Nacional de Ciberseguridad de España (INCIBE). Cómo identificar un correo electrónico malicioso.
AVAST. Guía esencial del phishing: cómo funciona y cómo defenderse.
Malwarebytes. ¿Qué es el malware?.
Malwarebytes. Todo acerca del ransomware.
Esta verificación se hizo con el apoyo de la Google News Initiative.
¿Viste algún error o imprecisión? Ayúdanos a corregirlo. También queremos leer si hay algún mensaje o imagen que quieres que verifiquemos. Escríbenos a eldetector@univision.net
Aquí te contamos sobre nuestra metodología y política de corrección.