Con el uso de las Redes Sociales y el avance tecnológico en internet, también surgen problemas asociados a las nuevas tecnologías de la comunicación. El que cada vez es más frecuente, por el gran número de denuncias que existen y van en aumento, es el llamado" Phishing" o suplantación de identidad.
Se trata de una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta o cometer ciberacoso y sextorsión, haciéndose pasar por otras personas.
¿Cómo lo consiguen?
- A través de un SMS (mensaje corto), mediante la recepción de un mensaje donde nos solicitan datos personales, ofreciéndonos un premio. Es posible que nosotros seamos precavidos y no facilitemos datos personales, pero cada vez son más los jóvenes que tienen teléfonos móviles más pronto y pueden caer en esta trampa.
- Otra forma, es la recepción de una llamada telefónica. En la que se hacen pasar por una empresa privada o pública para obtener nuestros datos personales. Se ha dado el caso con llamadas en las que se hacen pasar por la Agencia Tributaria
- Internet, a través de una página web o ventana emergente. En ella se suplanta visualmente la imagen de una entidad oficial o empresa, pareciendo ser las páginas oficiales, a través de un registro en la página web. De esta forma el usuario facilita sus datos privados. La más empleada es la "imitación" de páginas webs de bancos, siendo el parecido casi idéntico pero no el oficial. También hay sitios webs falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario "inexperto" facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios.
- En el caso de las redes sociales, tan sólo basta con abrir una cuenta en las diferentes redes sociales (facebook, twitter, ...) con el nombre de otra persona y aquí viene lo que puede afectar especialmente a nuestros hijos, que esa suplantación de identidad, de lugar a ciberacoso o sextorsión, de lo que ya hemos hablado en otras entradas.
La Oficina de Seguridad del Internauta (OSI)
de INTECO Instituto Nacional de Tecnologías de la Comunicación) es la encargada de proporcionar la información y el soporte necesario para
evitar y resolver los problemas de seguridad que pueden existir al
navegar por Internet. Y nos facilita unas pautas a tener en cuenta para saber si alguien ha suplantado nuestra identidad en las redes sociales:
- Si vemos que desaparecen mensajes privados que teníamos guardados.
- Hay nuevos post o mensajes en nuestro muro, que nosotros no hemos publicado.
- Aparecen chats con conversaciones que no recordamos haber tenido.
- Aparecen nuevos contactos y tal vez hemos dejado de seguir a algunos que ya seguiamos.
Cuando se produce mediante la telefonía móvil, se le llama smishing, es una variante del phishing. Son mensajes de texto cuya actividad criminal es la de obtener, mediante engaños a los usuarios de telefonía móvil, información privada o suscripciones falsas online ofertas de trabajo en sitios web, para luego introducir spyware o programas con intenciones maliciosas sin el consentimiento del usuario.
Los 10 phishings más utilizados por los ciberdelincuentes:
1. Bancos y cajas: Nos avisan mediante excusas, tales como: cambios en la
normativa del banco, cierre incorrecto de la sesión del usuario, mejoras
en las medidas de seguridad, detectada intrusión en sus sistemas de
seguridad, bloqueo de la cuenta por motivos de seguridad, etc. que introduzcamos nuestros datos de nuevo. El objetivo, robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.
2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.): Las excusas utilizadas para engañar al usuario son las mismas que en el caso de los bancos, normalmente con la misma finalidad; robar nuestros datos bancarios
3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.): Las estrategias utilizadas para engañar al usuario y aprovechar para introducirnos un Software espía, son: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc. Con ello, pueden asumir nuestra cuenta de usuario y hacerse pasar por nosotros, obtener nuestros datos privados.
4. Páginas de compra/venta y subastas (Amazon, eBay, etc.): Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc. El objetivo: robar cuentas de usuarios y estafar económicamente al usuario.
5. Juegos online: Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios. Consiguen con ello: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.
6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.): Generalmente, utilizan como estrategia para engañar al usuario, que requieren confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc. De nuevo solicitan datos y consiguen robar cuentas y datos privados de los usuarios.
2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.): Las excusas utilizadas para engañar al usuario son las mismas que en el caso de los bancos, normalmente con la misma finalidad; robar nuestros datos bancarios
3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.): Las estrategias utilizadas para engañar al usuario y aprovechar para introducirnos un Software espía, son: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc. Con ello, pueden asumir nuestra cuenta de usuario y hacerse pasar por nosotros, obtener nuestros datos privados.
4. Páginas de compra/venta y subastas (Amazon, eBay, etc.): Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc. El objetivo: robar cuentas de usuarios y estafar económicamente al usuario.
5. Juegos online: Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios. Consiguen con ello: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.
6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.): Generalmente, utilizan como estrategia para engañar al usuario, que requieren confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc. De nuevo solicitan datos y consiguen robar cuentas y datos privados de los usuarios.
7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.): Excusas utilizadas para engañar al usuario: Facilita tus datos para ver el archivo. Para conseguir cuentas de distintos servicios de usuarios y obtener información privada.
8. Phishing a servicios o empresas públicas. Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa..., haciéndose pasar por alguna empresa. Con ello, consiguen infectar nuestro ordenador, robar datos privados, bancarios y estafar económicamente al usuario.
9. Phishing a servicios de mensajería: Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc. De nuevo, para infectar ordenadores, robar datos privados y bancarios de los usuarios.
10. Falsas ofertas de empleo: Con el gancho de ofrecer o informar sobre puestos de trabajo, nos solicitan nuestros datos y consiguen robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.
8. Phishing a servicios o empresas públicas. Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa..., haciéndose pasar por alguna empresa. Con ello, consiguen infectar nuestro ordenador, robar datos privados, bancarios y estafar económicamente al usuario.
9. Phishing a servicios de mensajería: Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc. De nuevo, para infectar ordenadores, robar datos privados y bancarios de los usuarios.
10. Falsas ofertas de empleo: Con el gancho de ofrecer o informar sobre puestos de trabajo, nos solicitan nuestros datos y consiguen robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.
Para protegernos nosotros y nuestros hijos e hijas.
- Usa los filtros antispam que facilitan los clientes de correo electrónico. También puedes ayudarte de herramientas específicas que bloquean el correo no deseado.
-
Configura la opción antiphishing que incorporan los navegadores:
- El Filtro SmartScreen de Internet Explorer ayuda a identificar sitios web notificados como de suplantación de identidad (phishing) o de malware
- Protección contra el Malware y el Phishing en Firefox
- Protección contra phishing y software malicioso en Google Chrome
- Evitar la suplantación de identidad (phishing) en Safari
- Verifica la legitimidad del sitio web. Fíjate siempre en la URL para asegurarte que estás en la página web oficial en la que querías estar y no se trata de una web que la está suplantando.
Qué hacer:
- No acceder a las peticiones de solicitud de información. En caso de duda, consulta directamente a la empresa o servicio a través de los mecanismos oficiales que facilitan en su página web oficial.
- No contestar en ningún caso a estos correos.
- Bajo ningún concepto seguir posibles enlaces que se puedan facilitar en el correo fraudulento ni descargues ficheros que traiga adjuntos.
- Elimínarlo y, si lo deseas, alerta a tus contactos sobre este fraude.
- Envía los correos sospechosos a http://www.osi.es/es/te-ayudamos/actua-ante-el-fraude
Información extraída de la Oficina de Seguridad del Internauta (OSI) de INTECO. Instituto Nacional de Tecnologías de la Comunicación, S.A., (INTECO), sociedad dependiente del Ministerio de Industria, Energía y Turismo (MINETUR) a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación española (RedIRIS) y empresas, especialmente para sectores estratégicos
Recursos:
- Video Phishing. Aprenda a evitar los fraudes electrónicos: La Secretaria de Estado de las Telecomunicaciones del Ministerio de Industria, Turismo y Comercio, junto a la Escuelas de Negocios EOI y dentro del Plan Avanza.
- Artículo: Cúando alguien se hace pasar por tí en Internet. Inteco
- Guía para usuarios: identidad dígital y reputación online. Inteco
- Aprende con Social Lab las técnicas que utilizan los ciberdelincuentes para obtener información sobre ti en las redes sociales y poder así proteger tu privacidad adecuadamente.
- Chaval.es es la página web de referencia respecto al buen uso de las TIC, Tecnologías de la Información y la Comunicación para jóvenes. Dependiente del Ministerio de Industria, Energía y Turismo.
- Proyecto Agrega . Información para adolescentes, padres y madres sobre la seguridad en Internet. Explica cómo detectar la presencia de correos que invitan a entrar en páginas webs suplantadas y solicitan información relativa a datos personales o bancarios que la propia entidad no haría nunca a través de un correo electrónico. Alerta sobre estas prácticas hoy día muy habituales y propone medidas cautelares.
- Netcraft. Protege de los ataques de phishing. Vigila donde se hospeda y proporciona un índice de riesgo de los sitios que visitas. Ayuda a defender a la comunidad internauta de fraudes
