Siempre se ha dicho que el punto más débil de un sistema informático se encuentra detrás del teclado. Por ejemplo, somos los propios usuarios los que al final decidimos si confiamos o no en un mensaje, en una página web o en una tienda online. Y de eso se aprovechan los ciberdelincuentes para lograr sus propósitos. Vamos a ver cómo detectar un mensaje fraudulento y por qué la ingeniería social es el punto de entrada de los chicos malos.
Su objetivo no es otro que hacer que el usuario, ya sea de un smartphone, un PC o de un Mac, abra la puerta para que puedan tomar el control de cualquiera de sus dispositivos y utilizarlos para sus propósitos sin que sea consciente de ello, sobre todo si no cuentan con una solución de seguridad que esté siempre alerta.
Cómo detectar un mensaje fraudulento
Los ciberdelincuentes están al día y, en función de determinados momentos y acontecimientos, van a variar y producir diferentes campañas que tratarán de que se extiendan lo máximo posible. Así, utilizan temas o cuestiones de actualidad y distintos medios para infectar a más y más dispositivos.
El último ataque ampliamente difundido ha sido el conocido como el timo de Fedex, aunque puede estar involucrada cualquier otra empresa de mensajería. Todo comienza cuando un SMS informa de que nos va a llegar un paquete de algo que supuestamente hemos comprado por Internet y nos ofrece descargar una aplicación para realizar un seguimiento del pedido. Pero el final no es el esperado, como atestiguan los muchos usuarios que no han recibido nada, sino todo lo contrario: los ciberdelincuentes han conseguido sus datos bancarios y han mermado sus cuentas.
Han tenido muy presente que la situación sanitaria ha disparado el número de personas que, por primera vez o de forma más asidua, ha adquirido algún producto a través de la Red. Y seguro que han pensado que muchas de ellas no tienen la experiencia necesaria y no desconfían de un mensaje que les llega y les pide que se instalen una app para el seguimiento del pedido.
El antivirus del ordenador puede advertir si la página a la que lleva no es de confianza. Por eso se traslada el engaño del ordenador al smartphone, porque, al margen de que la base de usuarios es muy superior, el número de aquellos que tiene instalado uno en su móvil es mucho menor. Hay que recordar que Norton ofrece licencias para todo tipo de dispositivos en su gama de soluciones de seguridad Norton 360, y que los términos y condiciones que se aplican a cada suscripción se pueden consultar en la propia página de Norton, que indica todas las especificaciones.
Consigue la solución integral Norton 360 que mejor se adapta a tus necesidades. Instalación para 1, 5 y hasta 10 equipos (PC, Mac, smartphones y tablets), protección contra virus y malware, firewall, gestor de contraseñas, 10, 50 o 75 GB para copias de seguridad en la Nube, Secure VPN, control parental, SafeCam y mucho más.
Por eso, al recibir un mensaje que no esperábamos, el primer paso debe ser desconfiar. ¿Tenemos que descargarnos una app para hacer el seguimiento de un pedido? La mayoría de las tiendas online ofrece el informe de seguimiento desde su propia página o nos avisa a través de correo electrónico de cuándo va a llegar. Si ya tenemos instalada la app de la tienda online, nos pueden llegar notificaciones a través de ella, pero nunca tendríamos que instalarlos la aplicación de la mensajería.
¿Qué indicios nos pueden hacer sospechar?
Muchos de estos mensajes tratan de pasar desapercibidos. Para ello, copian logos de empresas, imágenes, URL similares a las que debería tener una página web original, etc. Pero en muchas ocasiones utilizan un traductor automático, y se nota. Así, algunos mensajes pueden tener faltas de ortografía, incorrecciones en la redacción o frases que no acaban de tener sentido.
Muchos de estos mensajes tratan de pasar desapercibidos. Para ello, copian logos de empresas, imágenes, URL similares a las que debería tener una página web original
Otra pista de que algo no va bien es que nos requieran algún dato personal. Especialmente cuando no hemos solicitado nada. Si es un banco el que nos lo pide dato —bastante improbable porque deberían tenerlos todos—, mejor acudir a la página oficial y aportarlos desde allí. Nunca es recomendable hacer clic en la dirección o en el enlace acortado, y mejor pararse a teclear directamente la página y verificar desde allí con la ayuda de herramientas de terceros.
Otro buen consejo es no tener prisa. Mejor utilizar la verificación del carpintero: medir dos veces y cortar solo una. En este caso, las prisas pueden evitar que verifiquemos que quien creemos que está detrás de este mensaje es realmente el remitente. Si cualquier entidad nos solicita datos por correo, algo bastante improbable, mejor comunicarnos con ellos a través de la aplicación online o con la página web.
¿Por qué medios nos pueden engañar?
Hasta hace no mucho tiempo, el correo electrónico era el medio favorito para tratar de engañar a los usuarios. Para ello, lo habitual es que los ciberdelincuentes intenten suplantar o enmascarar su dirección de envío con alguna que no nos haga sospechar. Puede ser nuestro banco, la Agencia Tributaria (ahora que comienza el plazo para presentar la declaración de la renta) o Correos, avisándonos de que tenemos un paquete pendiente de recoger.
Por varios motivos, este tipo de campañas no son tan efectivas. Por un lado, porque los propios proveedores de servicios como Gmail, Yahoo o Outlook se encargan de detectar como spam a estos mensajes. Una segunda barrera la ofrecen antivirus como los de Norton, que detectan estos mensajes como fraudulentos o nos advierte del peligro cuando accedemos a alguna página para hacer una descarga.
Por eso, las redes sociales se han vuelto una fórmula para propagar estos mensajes y tratar de engañar a los usuarios. Por ejemplo, es posible recibir un mensaje de WhatsApp suplantando la identidad de alguno de nuestros contactos que nos solicita un código que han enviado por error. Si caemos en el engaño, podemos perder nuestra propia cuenta, que será utilizada a su vez para engañar a nuestros contactos.
Todos podemos caer en el engaño
Pensamos que estamos a salvo porque tenemos un perfil más técnico, porque llevamos años utilizando ordenadores o smartphones, pero todos podemos caer en el engaño. Un ejemplo claro es el timo del CEO, muy extendido en las empresas y que, suplantando la identidad del jefe, tiene por objetivo que los empleados realicen transferencias a terceros.
Los timos están enfocados a diferentes tipos de personas, ya sea a un entorno empresarial, como el timo del CEO, o más general, como puede ser una oferta irresistible de un conocido supermercado.
Los timos están enfocados a diferentes tipos de personas, ya sea a un entorno empresarial, como el timo del CEO, o más general, como puede ser una oferta irresistible de un conocido supermercado
¿Cómo logran engañar a estos trabajadores? El gancho es un negocio que está por cerrarse, normalmente internacional, y que exige el envío de una cantidad de dinero para cerrar el trato. Y tiene que ser lo antes posible, aquí vuelven a aparecer las prisas. ¿Sospechamos? Al fin y al cabo parece que es nuestro propio jefe el que nos lo solicita por correo. Pero realmente no es él y es necesario detectarlo.
Hay que tener en cuenta que los timos están enfocados a diferentes tipos de personas, ya sea a un entorno empresarial, como el timo del CEO, o más general, como puede ser una oferta irresistible de un conocido supermercado, una multa de la DGT, un paquete que está retenido en aduanas o, ahora que empieza la campaña de la RENTA 2020, la devolución de nuestra declaración.
Actuar rápido si nos damos cuenta del engaño
Es importante actuar rápido si nos hemos dado cuenta de que algo ha ido mal. Por un lado, porque no solo nos pueden robar datos que tengamos en nuestro equipo, sino en muchos casos suplantar nuestra identidad para tratar de engañar a nuestros contactos, que probablemente no desconfiarían de nosotros.
Una buena práctica es cortar las comunicaciones lo antes posible. Si nos ha llegado por SMS al teléfono, dejarlo en modo avión. Lo mismo en un portátil desconectando el WiFi o quitando el cable de red si es un equipo de sobremesa.
Y después limpiar el "bicho" con una solución de seguridad. Y esto no siempre es fácil. Si el programa que hemos instalado se ha hecho con el control de seguridad e impide su propia eliminación, lo más recomendable es volver a los valores de fábrica del dispositivo, ya sea un ordenador, un smartphone o una tablet. En estos casos es fundamental tener copia de seguridad para no perder datos.
Consigue la solución integral Norton 360 que mejor se adapta a tus necesidades. Instalación para 1, 5 y hasta 10 equipos (PC, Mac, smartphones y tablets), protección contra virus y malware, firewall, gestor de contraseñas, 10, 50 o 75 GB para copias de seguridad en la Nube, Secure VPN, control parental, SafeCam y mucho más.
Cinco consejos finales
A la hora de navegar o interactuar con otros usuarios, se debe recordar algo que nos enseñaron cuando éramos niños: hay que desconfiar de los extraños. Y en Internet todo el mundo es o puede ser un extraño. También en las redes sociales. Realmente no sabemos quién está detrás de esa dirección, de ese mensaje o de esa promoción que no podemos dejar pasar.
Si a pesar de todo logran engañarnos, nos puede salvar disponer de un antivirus potente y actualizado, que monitorice nuestros sistemas y nos avise de comportamientos extraños o de que una aplicación intenta apropiarse de más permisos de los que necesitaría. Aquí lo más aconsejable es hacernos con la versión de Norton 360 que responda a nuestras necesidades.
También es una buena práctica trabajar con el menor privilegio posible, no hacerlo con un perfil de administrador. Si la aplicación que nos hemos descargado nos pide demasiados permisos, mejor desconfiar.
Y siempre tratar de descargar aplicaciones de fuentes fiables. ¿Tenemos que descargarnos una app para hacer el seguimiento de un pedido? Mejor que seguir el enlace que nos llegó por SMS, vamos a la tienda de Apple o de Google y la descargamos desde allí.
Por último, ante cualquier duda, mejor esperar y contrastar la información. A veces basta una simple búsqueda en Internet para sospechar que la oferta del supermercado puede que no sea irresistible o que realmente tu madre no te ha enviado ningún código de verificación por WhastApp. Ya se sabe: usuario precavido vale por dos.
Ver 1 comentarios