Aproximadamente
el 80 por cien de los delitos ocurridos en Internet, son
fraudes on line.
La
ciberdelincuencia es ya un negocio más lucrativo y menos arriesgado que el
narcotráfico y la trata de blancas.
La ciberdelincuencia crece cada año dando la impresión de
que nada pueda pararla. Internet es global, permite un gran anonimato y operar a los ciberdelincuentes alrededor
de todo el mundo, sin conocer de legislaciones, ni competencias
territoriales. De ahí que la víctima de una estafa on line pueda estar en
España, el autor (o beneficiario) en Rusia, y los servidores donde estaba
alojada la web ficticia de una entidad financiera, en cualquier otro país.
Podemos lamentarnos, sobrecogernos al ver noticias de
este tipo, pero los autores de Internet Negro preferimos informar, difundir y
ayudar a prevenir para que poco a poco la conciencia sobre este nuevo entorno
llegue a cuantas más personas mejor. Y es que no nos queda otra, o adaptarnos a
las nuevas formas de delincuencia y nuevos retos de seguridad, o quedarnos
aislados.
En primer lugar, necesitamos saber a qué nos enfrentamos
para poder comenzar a adoptar medidas preventivas, así que aprovechando
nuestro paso por el programa A Punto con La 2 del pasado día 19 de enero, sobre
los fraudes on line más habituales de los que advertimos en nuestro libro, vamos a
dedicar esta entrada a describir brevemente cuáles son algunos de esos
principales fraudes y cómo evitarlos:
PHISHING:
Es un fraude de varias fases. Comienza con la obtención de claves de acceso
a la banca on line, aunque también puede ser de acceso a otros servicios, como
por ejemplo Paypal, redes sociales, etc. Normalmente para captar estas
contraseñas, los ciberdelincuentes emplean técnicas de ingeniería social, como el
típico e-mail falso recibido que suplanta la imagen de alguna entidad bancaria
y pide bajo cualquier pretexto, que verifiquemos nuestro nombre de usuario y
contraseña, tras pinchar en un enlace adjunto.
Una vez dentro de nuestra cuenta bancaria, ordenan tantas
transferencias como sea posible sin permiso del titular y con destino a una o
varias cuentas beneficiarias de terceras personas captadas para ello, por
ejemplo mediante procedimientos de scam o falsas ofertas de trabajo como agente
o mediador financiero. Son los denominados muleros.
El “trabajo” del mulero consiste en retirar rápidamente
el dinero de su cuenta bancaria y enviarlo a través de agencias de envío de
dinero a donde le indiquen, quedándose una comisión a cambio que puede oscilar
entre el 5 y 10% sobre el total.
Cómo prevenir ser
víctimas de pshishing:
- Los bancos no piden que verifiquemos nuestro
nombre de usuario y contraseña por e-mail.
- No acceder a páginas de entidades bancarias a
través de enlaces recibidos por correo electrónico. Es preferible
buscar la web de forma directa.
- Comprobar que la web del banco utiliza
cifrados HTTPS.
- No acceder a nuestra banca on line desde
conexiones wi fi públicas. Podrían estar comprometidas o espiadas.
- Tener antivirus y sistemas operativos
actualizados. Evita en mayor
medida que seamos infectados por algún software espía o malicioso.
- Desconfiar de ofertas de trabajo como
mediador financiero o similar. Ofrecen trabajo como mediador financiero
sin contrato, ni altas en la seguridad social, donde todo es muy rápido y muy
fácil, demasiado bonito para ser verdad.
PHARMING:
Da un paso
más allá que el phishing y en vez de engañar a la persona con ingeniería
social, engaña a la máquina, es decir al DNS (servidor de nombres de dominio)
consiguiendo desviar el tráfico de Internet de un sitio web lícito, por ejemplo
la web de una entidad bancaria (también puede ocurrir con las páginas web de Ebay,
Facebook, Twitter, Paypal), hacia otro sitio de apariencia similar, creado al
efecto para la comisión de fraudes y alojado en un servidor controlado por
ciberdelincuentes.
Serán
páginas web en principio idénticas en apariencia, pero alojadas en servidores
diferentes y con distintas direcciones IP que viene a ser el número de DNI que
identifica a una web en Internet.
La finalidad
es engañar a los usuarios quienes desconocen que están accediendo a una página
web ficticia, y así obtener sus nombres y contraseñas de acceso a la banca on
line.
Tras
introducir sus claves, el usuario verá que la web le da algún tipo de error y
que no puede acceder a pesar de haber tecleado sus credenciales correctamente,
las cuales habrán quedado registradas en la base de datos del sitio falso e
inevitablemente a disposición de los ciberdelincuentes.
Vacunas
disponibles contra el pharming:
- No descargar
archivos procedentes de correos electrónicos desconocidos. Podrían
portar el malware que infectará nuestro dispositivo para ser víctimas de
pharming.
- Mantener
actualizado el antivirus y sistema operativo. Evitaremos el
mayor número de vulnerabilidades posible.
- Proteger los
dispositivos utilizando buenos antivirus (lo que no quiere decir de pago) y
cortafuegos (firewalls).
- Instalar software anti spyware y antipharming.
- No conectarse
a la banca on line desde conexiones a Internet inseguras (wifis abiertas
o ordenadores de sitios públicos).
¿Qué es el SCAM?
El scam
consiste en captar por Internet personas para falsas ofertas de trabajo. Suelen
emplear correos electrónicos (ofertas recibidas a modo de spam), anuncios en
webs de trabajo, chats, irc, etc, donde empresas ficticias ofrecen trabajar
cómodamente desde casa y cobrando unos beneficios muy altos.
Sin saberlo
la víctima que acepta estas ofertas, facilita sus datos personales y
número de cuenta bancaria, que serán utilizados posteriormente por la
organización delictiva como cuentas depósito o intermediarias para sus
traspasos de dinero, por ejemplo como intermediario de un phishing. Sin saberlo
podemos estar participando en delitos de estafa por Internet y de blanqueo
de capitales.
Para dar cierta apariencia de legalidad,
incluyen supuestos testimonios de personas que por todo el mundo se están
haciendo ricas con este método, siempre con datos de identificación muy
genéricos y escuetos. Respecto a la procedencia de los fondos los justifican como
parte de pagos de transportes internacionales, envíos de dinero a ONG's, etc.
¿Qué es el RANSOMWARE?
Consiste básicamente en secuestrar el ordenador y pedir un rescate a cambio para su liberación. Los
"cibersecuestradores" consiguen instalar en los ordenadores de sus
víctimas un tipo de software malintencionado llamado
ransomware (ransom: secuestro en inglés) que a modo de un
troyano, les permite el control remoto de los terminales infectados.
Una vez instalado, encripta el dispositivo al
completo o algunos de sus archivos. De esta forma impiden el acceso a la
información y datos. Tras el bloqueo, comienza la extorsión, por lo que piden
un pago a modo de “rescate” para desbloquearlo. Existen varios tipos, como
ransomware:
- De bloqueo: bloquea el dispositivo o algún
componente como el navegador, pidiendo a cambio del desbloqueo el pago del
rescate. El más conocido es el conocido como "Virus de la Policía",
que para conseguir su propósito hace creer a la víctima que debe pagar una
multa tras haber sido identificado por cometer algún delito por Internet, como
descarga de material ilegal o pedófilo.
- De cifrado: cifra datos para secuestrar
nuestro dispositivo. Su variante más conocida es Cryptolocker.
Vacunas contra el
ransomwarre:
- Hacer copias de seguridad habitualmente. Todos los expertos coinciden en lo mismo
como medida fundamental contra el ransomware. Puede que no evite el
ataque, pero sí sus nefastas consecuencias.
- Actualizar todas las aplicaciones que utilices,
especialmente sistemas operativos y navegadores.
- Instalar antivirus adecuados y actualízalos. No tienen que ser de pago, hay
gratuitos que cumplen su función.
- Evitar ejecutar e instalar programas desconocidos, tanto en ordenadores, como dispositivos
móviles.
- No descargar archivos ni pinchar enlaces de
fuentes desconocidas. Alerta con los correos electrónicos
“sospechosos” que contengan archivos o enlaces desconocidos. Una
forma habitual de infección es a través de e-mails que contienen este tipo
de archivos malintencionados.
- NO PAGAR el rescate y buscar ayuda técnica de
profesionales ya que existen alternativas, como herramientas de
recuperación de archivos cifrados por ransomware.
LAS FALSAS APPS:
Todo el mundo espía y las apps son útiles para ello. Se calcula que diariamente se descargan 30 millones de
aplicaciones en todo el mundo y en España, cada usuario lleva entre 24 y 31
aplicaciones de media en su smartphone o tablet. Descargar ciertas aplicaciones
(apps) en smartphones y tablets tiene sus riesgos, ya que pueden
ser el disfraz virtual adecuado para obtener nuestros datos personales,
infectar nuestro dispositivo con un virus o por ejemplo, para suscribirte a un
contrato de telefonía Premium.
Ejemplos de aplicaciones falsas célebres en los últimos
años fue la conocida como Whatsapp Spy, que tras instalarla, permitía
supuestamente conocer el contenido de
los mensajes emitidos por tus contactos. O “Escáner desnudo” o “Super Jumper X”
que permitía ver personas desnudas, y lo que verdaderamente había era
suscribirte a servicio de tarificación especial (SMS Premium).
El gran volumen de desarrollo y lanzamiento de apps a
nivel mundial, contribuye a que los supervisores de los dos mercados más
importantes a nivel mundial, Google Play y Apple Store, no puedan verificar con
total eficacia cada una de las aplicaciones que finalmente logra acceder a sus
mercados para ser posteriormente vendidas.
Por otra parte nos encontramos los problemas de
privacidad que suponen algunas apps, que al instalarlas nos solicitan acceso a
nuestra geolocalización, fotografías y agenda de contactos.
Vacunas que evitan sufrir “la gripe de las
aplicaciones falsas”:
- Una
aplicación gratuita para los ordenadores de mesa también lo es para nuestros smartphones
o tablets. Si Facebook, Twiter, Skype, Instagram,
Tuenti,… han decidido que su aplicación sea gratuita para nuestros PC, no creas
a aquellas que bajo la misma denominación y apariencia que las anteriores, nos
piden una cantidad para adquirirla.
- Verificar el
nombre de las aplicaciones es vital para que no nos den gato por liebre. Asegúrate
de la tipografía exacta (consulta su web previamente) y no te dejes llevar por
un nombre similar. No es lo mismo descargarse la aplicación de Angry Birds que
Angry Apes.
- Leer con
atención los comentarios que han hecho los anteriores usuarios de la aplicación
y en caso de no existir. Al igual que existe el estafador, también
existe el buen samaritano digital. Y en el caso de que sea tarde y hayas sido
tú una víctima de ello, no lo dudes, deja tu opinión y tu experiencia a fin de
evitar que otros sufran lo que tú.
- Ojo avizor a los permisos que la aplicación
nos solicita. ¿Es necesario que el juego de Candy Crush conozca
nuestro teléfono móvil?
¿Qué métodos de pago
son más seguros?
La seguridad total en Internet no existe. Aún así hay formas
de garantizar los pagos y de reducir los riesgos en las transacciones por
internet, por ejemplo utilizando plataformas como Paypal.
Para empezar una política de prevención de riesgos
tecnológicos, deberíamos buscar siempre páginas web o apps que utilicen
protocolos de cifrado de información en sus operaciones, es decir webs con el
famoso candado cerrado y con certificados actualizados HTTPS. En caso
contrario, deberíamos en principio desconfiar e intentar verificar quien es el
destinatario y quien gestiona a web intermediaria.
¿Qué es el bitcoin o
moneda virtual? ¿Es una forma de pago segura?
El bitcoin o criptomoneda, es la moneda virtual que se
emplea como medio de pago en la deep web o web profunda. Está fuera del alcance
cualquier banco, país u organismo. Según dicen algunos, su aceptación es tan
grande en las transacciones de esa cara oculta de internet, que ya y cajeros que
dispensan bitcoin en monederos virtuales y acabará siendo aceptada de manera
institucional. Tienen su equivalencia en euros y al ser la moneda de pago de la
deep web hace muy difícil su seguimiento.
Es una forma de pago segura, en el sentido de que no es
posible falsificarla o duplicarla porque se halla protegida con un complejo
sistema criptográfico.
¿Cuándo podemos dar
nuestro número de tarjeta de banco?
Siempre que sea necesario para compras por Internet pero
bajo vigilando que sean páginas web seguras con protocolos hpps que garanticen
el cifrado de la información que reciben. Pero cuidado, no es suficiente, ya
que a pesar de que la web esté protegida y cifre sus comunicaciones, debemos
tener en cuenta que son nuestros propios dispositivos los que podrían estar
infectados por algún malware.
Enlaces relacionados: