El próximo viernes 25 de noviembre se celebrará el Black Friday, la jornada que marca el inicio de las compras navideñas trayendo consigo un sinfín de ofertas en artículos de todo tipo que se suceden hasta el Cyber Monday, el día en el que multitud de comercios lanzan sus ofertas en internet, que este año tendrá lugar el 28 de noviembre. Estas fechas son muy esperadas para las tiendas físicas, las plataformas de e-commerce y los consumidores, pero también por los ciberdelincuentes, que siempre tratan de aprovecharlas para hacer su particular agosto.
A pesar de la inflación y la subida de precios, se prevé que el gasto online va a aumentar un 25% respecto al año pasado, según un estudio de la compañía especializada en comercio electrónico Webloyalty. También se estima que los españoles gastarán una media de 160 euros y desde el Centro Universitario U-tad han alertado que los hackers ya tienen todo preparado para que caigamos en sus trampas.
Según ha advertido este centro universitario, especializado en tecnología y arte digital, los cibermalos van a volver a centrarse en los ciberataques de ingeniería social, una de sus técnicas más utilizadas que básicamente consiste en engañar a los usuarios haciéndose pasar por otra persona o entidad legítima para obtener información privada o dinero.
"En estas fechas, sobre todo en los días próximos al Black Friday y al Cyber Monday, aumentan considerablemente este tipo de ciberdelitos, porque los ciudadanos intentan comprar rápidamente estos supuestos chollos y no revisan adecuadamente si se trata o no de una estafa", ha señalado Eduardo Arriols, coordinador académico del área de ciberseguridad en el Centro Universitario U-tad.
Ante este riesgo, Arriols ha enumerado los ciberataques más frecuentes que conviene tener en cuenta de cara al Black Friday y también ha explicado cómo podemos identificarlos y qué debemos hacer si somos objetivo de alguno de ellos. A continuación los repasamos siguiendo su información.
Tiendas online fraudulentas
En estas fechas en las que el comercio online se utiliza más que nunca, los cibercriminales suelen crear aplicaciones web falsas, ya sean tiendas inventadas o copias de franquicias ya existentes, en las que el usuario, atraído por ofertas irresistibles y a un precio mucho menor, cae en su trampa.
Lo recomendable es siempre asegurarse de que la tienda es legítima, buscando información en Google y, en caso de que sea un nombre comercial conocido, revisar desde dónde y cómo nos ha llegado la información y validarla en internet. En muchas ocasiones, los hackers envían mensajes maliciosos, bien de tipo SMS o de WhatsApp, en los que redirigen a la gente a aplicaciones fraudulentas. Esto se conoce como smishing y recientemente vimos un ejemplo que suplantaba la identidad de Iberia. Además, es crucial recordar que no se debe dar nunca el número de tarjeta ni teclearlo en aplicaciones que no sean conocidas.
Phishing
Es uno de los métodos más antiguos y fáciles de realizar por los ciberdelincuentes, en los que tratan de engañar a los usuarios haciéndose pasar por una persona, empresa o servicio que inspire confianza. Puede ser un banco, una compañía de servicio de streaming o un familiar, los cuales son suplantados en correos electrónicos que simulan ser convincentes y, generalmente, incluyen un enlace a una página web falsa que sirve para que los usuarios introduzcan sus datos bajo cualquier excusa. Este tipo de ciberataque suele difundirse de forma masiva y, para no morder el anzuelo, se aconseja acceder al servicio por medio del navegador sin utilizar ningún link que haya en el mensaje.
Vishing
Este ciberataque es relativamente nuevo y consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa como las que comentábamos anteriormente para obtener información confidencial sobre un usuario. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, si nos llaman desde un banco o cualquier otra compañía pidiéndonos datos personales, por muy urgente que sea el trámite que se deba hacer, lo mejor es colgar y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata.
El hacker ético Raúl Beamud también nos advirtió sobre el phishing, smishing y vishing en este tutorial en el que nos explicó en qué se diferencian y nos mostró algunos ejemplos y herramientas útiles para que aprendamos a detectarlas.
Phishing, Smishing y Vishing. Qué son y cómo identificarlos
Sim swapping (duplicado de tarjeta SIM)
Tras haber conseguido perpetrar un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante puede recurrir al método conocido como el SIM swapping, del que ya avisamos en Escudo Digital. Con ello, se hace pasar por la víctima para solicitar un duplicado de su tarjeta SIM, algo que muchas veces puede lograr únicamente llamando a la compañía de teléfono y proporcionando su DNI junto a su nombre completo. Una vez que el atacante se hace con la tarjeta SIM de la víctima, se puede hacer pasar por él/ella en numerosos servicios.
Es muy común que un servicio online en el que te tienes que identificar te pida la confirmación por medio de un SMS por lo que hay que tener cuidado con los mensajes de confirmación con un código de seguridad. En caso de que no lo hayamos solicitado nosotros mismos, habrá que llamar a la compañía telefónica para anular el duplicado de la tarjeta.
Robo de identidad aprovechándose de una filtración de datos
Los ciberdelincuentes suelen encontrar fallos en algunos sitios web que les permiten obtener cuentas de usuario y contraseñas. Es habitual que vendan o publiquen estos datos en Internet, de tal manera que, pasado un tiempo de esa filtración, otro atacante que no tenía nada que ver con el ataque original, prueba a iniciar sesión con el usuario y contraseña filtrados y se hace pasar por la víctima.
Para protegerse de este tipo de ataques, es recomendable crear una contraseña diferente para cada sitio. Otra medida muy importante es comprobar si la dirección de correo electrónico ha sido filtrada en alguna fuga de datos producida anteriormente. Para ello, hay que dirigirse a la página web https://haveibeenpwned.com/ e introducir el correo electrónico. Así, la web indica si la dirección se ha filtrado alguna vez, y en caso afirmativo, qué servicio ha sido vulnerado. A partir de ahí es aconsejable cambiar la contraseña no solo en ese sitio, sino en todos en los que se utilice la misma clave o un derivado de ella.