Los mensajes donde ciberdelincuentes se hacen pasar por entidades bancarias son cada vez más comunes. Este tipo de phishing puede llegar a engañar a muchas personas e, incluso, podría hasta hacerles perder dinero o exponer sus datos sensibles fácilmente.
Según una encuesta de ESET, el 81% de latinoamericanos recibió por lo menos un intento de ciberestafa durante 2022. Asimismo, el estudio arrojó que el correo electrónico es el medio por el que más se reciben engaños (71%), seguido por las apps de mensajería (51%) y en tercer lugar las redes sociales (32%).
MIRA: “Elimina esta aplicación porque contiene malware”: ¿cómo las apps maliciosas burlan los filtros de la Play Store y App Store?
El informe, que contó con participantes de Argentina, Brasil, Chile, Colombia, Costa Rica, Ecuador, Guatemala, México, Perú y Venezuela, en su mayoría, también dio como resultado que solo el 6% cayó en la ciberestafa. Si bien este porcentaje parece pequeño, se debe tener que cuenta que en Latinoamérica, para noviembre de 2022, hay 660,3 millones de personas, según la Comisión Económica Para América Latina y el Caribe (CEPAL) de la ONU.
Sin embargo, el dato más destacado es que el 61% de los encuestados indicó que los mensajes aseguraban provenir de un banco. Es decir, más de la mitad las personas que viven en la región han recibido intentos de ciberestafas, en los cuales los ciberdelincuentes se hacían pasar por entidades bancarias.
LEE TAMBIÉN: WhatsApp: ¿cómo saber si otra persona ha iniciado sesión con mi cuenta en otro dispositivo?
¿Por qué los cibercriminales prefieren suplantar la identidad de los bancos?
De acuerdo con Sol González, security researcher de ESET Latinoamérica, utilizar estos nombres les daría autoridad. “Los cibercriminales prefieren utilizar la estafa de ‘comunicación por parte de un banco’ porque les da una apariencia de autoridad y legitimidad que puede engañar a las personas para que revelen información personal o financiera confidencial”, indica en entrevista con El Comercio.
"Los cibercriminales prefieren utilizar la estafa de ‘comunicación por parte de un banco’ porque les da una apariencia de autoridad y legitimidad que puede engañar a las personas para que revelen información personal o financiera confidencial"
Además, los ciberdelincuentes aprovechan el tono del mensaje para engañar a los usuarios. “Los cibercriminales utilizan este tipo de phishing ya que es fácil generar una sensación de urgencia en las víctimas, lo que aumenta la probabilidad de que revelen información valiosa”, agrega.
El tener acceso a nuestras cuentas de banco desde celulares, computadoras y otros dispositivos hacen que este tipo de phishing sea más atractivo. “Si lo pensamos desde un lado totalmente económico, la manera más rápida de obtener activos financieros desde la perspectiva de un cibercriminal es obteniendo las contraseñas del homebanking [servicios bancarios que se pueden acceder desde cualquier dispositivo]. Esta es la principal razón por la cual los cibercriminales consideran que esta técnica es altamente efectiva”, señala la experta.
Sin embargo, en algunos casos, los ciberdelincuentes no solo se hacen pasar por una entidad bancaria, o algún agente que la represente. En algunos intentos de ciberestafa incluso aparecen datos que supuestamente solo nosotros deberíamos saber.
Según Julio Seminario, experto en ciberseguridad de Bitdefender, los datos personales que utilizan los cibercriminales se consiguen de varias maneras. “En ocasiones hay brechas de seguridad en bases de datos recolectadas por instituciones públicas y privadas. Estos datos filtrados pueden encontrarse en la dark web”, afirma en entrevista con este Diario.
LEE TAMBIÉN: Cuando el ciberacoso traspasa la pantalla: qué es el doxing y cómo podemos protegernos ante esta práctica
Otra modalidad que utilizan son los mismos correos de phising que buscan robar datos clave, nombre, teléfono, entre otros. “Esta es una de las principales modalidades, pues a través de regalos falsos o notificaciones falsas de instituciones como bancos, escuelas o de gobierno, le piden al usuario que ingrese con sus credenciales de acceso a una página idéntica a la de una institución mencionada. Sin embargo, solo es una fachada que capta la información escrita”, añade.
Asimismo, los datos personales que ponemos en Internet podrían ser aprovechados por ciberdelincuentes. “Es importante revisar qué información se publica en línea. Se recomienda no subir demasiada información personal, como nombres completos, DNI, pasaporte, licencias, celulares, etcétera. Con esta información pública, un delincuente no solo puede hacerse pasar por un operador del banco, si no incluso por un familiar u otra persona. El usuario, al escuchar que la otra persona sabe de él o ella, creerá que puede confiar y aceptará enviar información confidencial, o incluso dinero”, asevera el experto.
"Es importante revisar qué información se publica en línea. Se recomienda no subir demasiada información personal, como nombres completos, DNI, pasaporte, licencias, celulares, etcétera. Con esta información pública, un delincuente no solo puede hacerse pasar por un operador del banco, si no incluso por un familiar u otra persona"
Por su parte, González agrega la posibilidad de que los dispositivos puedan infectarse con malware. “Los ciberdelincuentes pueden utilizar malware para acceder a los dispositivos de las víctimas y recopilar información confidencial”, dice.
Por ello, pese a que a muchos les gusta decirle algunas cosas a los cibercriminales, lo mejor es que no. “Lo mejor es ignorarlos y no interactuar con ellos en absoluto; hasta incluso se recomienda eliminarlos. En el caso de dudar sobre si el mensaje es legítimo, se recomienda comunicarse directamente con la entidad bancaria”, indica la investigadora de ciberseguridad.
MIRA: Cómo saber si las empresas están protegiendo mis datos personales
¿Qué debe hacer una personas que ha sido víctima de esta modalidad de ciberestafa?
Según Seminario, las víctimas deben guardar registro de todo lo que podría ayudar a las autoridades. “La persona debe guardar rápidamente pruebas de la estafa, es decir capturas de los mensajes, llamadas, grabaciones y números utilizados por el estafador. Toda prueba que pueda recolectar. Es importante recolectar esta información rápidamente, pues los malhechores pueden cambiar de números, o dar de baja a las páginas o correos utilizados para cometer los delitos”, afirma.
Tras ello, lo primero que debe hacer una víctima es comunicarse con su entidad bancaria, especialmente si acaba de verificar que hay movimientos en sus cuentas que no reconoce. González indica que una acción clave para impedir que los ciberdelincuentes sigan aprovechando el momento es cambiar las contraseñas. “Si el usuario sospecha que ha ingresado sus credenciales a un sitio falso, es recomendable cambiar la contraseña con la que accede al sistema de banca online”, asegura.
Finalmente, el último paso sería otorgarle toda la información a la Policía Nacional o la entidad encargada, según el país. En el caso de Perú, la Divindat, División de Investigación de Delitos de Alta Tecnología, es el órgano que tiene como misión investigar, denunciar y combatir este tipo de actividad delictiva.
MIRA: ¿Cómo funcionan las VPN y por qué su uso hace la navegación en Internet más segura?
¿Qué debemos hacer para prevenir ser víctimas de esta modalidad de ciberestafa?
González asegura que “las campañas maliciosas que se valen de suplantar la identidad de compañías reconocidas suelen seguir patrones”. Es decir, este tipo de ciberestafas se pueden reconocer fácilmente. Por ello, la experta da las siguientes recomendaciones:
- Asegurarse de que la dirección web visitada es la correcta y no una versión falsa.
- Verificar si el sitio web tiene un certificado de seguridad válido, y que el mismo esté firmado por la compañía que dice ser.
- Evitar proporcionar información personal o financiera si no es seguro que el sitio web es legítimo.
- No hacer click en enlaces o descargar archivos adjuntos de correos electrónicos, mensajes de redes sociales, de mensajería instantánea como WhatsApp o Telegram, o de texto sospechosos o de remitentes desconocidos.
- Utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas.
Por su parte, Seminario señala que debemos ser meticulosos a la hora de leer el mensaje, pues en la mayoría de ocasiones existen indicios que nos podría indicar que estamos ante una posible ciberestafa. Estas son sus recomendaciones:
- Revisar los sitios web de los bancos para saber las fechas límite de pago. Es importante que cada usuario conozca bien su información bancaria básica para evitar que otras personas se aprovechen de esta. Algunos cibercriminales pueden sacar información de los usuarios al hacer alusión a que tienen algún pago vencido.
- Revisar faltas ortográficas y gramaticales. Deberá revisar el mensaje completo y también que el link del banco esté bien escrito. Por ejemplo: “Banco strella” o “Banco internacion4l” no estarían bien escritos.
- El banco nunca va a llamar ni enviar mensajes o correos solicitando información, como datos personales o contraseñas. Esta clase de solicitudes solo se hacen si usted requiere de hacer modificaciones o solicitudes. Si un banco lo llama solicitando que confirme su información personal es mejor no responder.
- Es recomendable que al momento de utilizar la banca web, se escriba la dirección completa del banco en el buscador. Es decir no buscar “Banco Estrella”, pues podría salir un listado de páginas con este nombre, pero no necesariamente son las reales, por más que lo parezca.