Últimamente, las ciberestafas están proliferando en España más de lo normal. Bueno, y en el mundo entero.
Así lo anunció el Instituto Nacional de Ciberseguridad de España (INCIBE) hace menos de un mes, focalizándose en campañas de ciberdelincuentes que realizan estafas vía phishing, smishing y vishing.
Los estafadores intentan hacerte creer que son entidades de gran prestigio cómo algún banco por ejemplo. Pueden contactarte por mail, SMS e incluso llamarte por teléfono y hablar contigo.
Se han detectado intentos de estafas a usuarios de Banco Santander, BBVA, Caixabank y Vodafone. Vale aclarar que aunque no seas usuario también puedes ser víctima.
El proceso que utilizan los hackers para estas estafas son realizados mediante ingeniera social, una estrategia de engaño.
Para que no que caigas en ningún intento de ciberestafa, te recomiendo leer este artículo. Pues estaré explicando algunos términos importantes que debes conocer hoy en día, además de las estafas más comunes en la actualidad.
Tabla de Contenido
Phishing, Smishing y Vishing: Tres términos que debes saber que significan
Para estar protegido de los ciberdelincuentes es fundamental conocer estos tres conceptos, ya que justamente son los que se utilizan para las estafas más comunes hoy en día.
Por lo tanto, a continuación te explicaré brevemente de que se trata cada uno. No son muy diferentes uno del otro y son muy simples de comprender.
¿Qué es el Pishing?
La denomina estrategia de Pishing cuando el ciberdelincuente te contacta vía correo electrónico suplantando la identidad de una entidad importante. Por ejemplo puede hacerse pasar como una entidad bancaria. De esta manera, el atacante utiliza una dirección de correo electrónico similar a la del banco que esta suplantando para que parezca real.
Luego, para llamar la atención de la victima que recibe el correo electrónico pondrá un asunto importante. Justamente, para que no tenga tiempo de pensar mucho y abra el mensaje.
Por ejemplo, el mensaje puede decir que tu cuenta fue abierta desde un dispositivo desconocido. A su vez, asignará direcciones web (URL) con mensajes del estilo “Haga clic aquí para verificar” o algún archivo adjunto.
Hasta aquí llega la parte del hacker ya que luego depende todo del usuario o víctima que recibió el correo. Pues los mismos enlaces que contienen los correos son falsificaciones o replicas de la entidad bancaria, si seguimos utilizando el ejemplo.
Es decir, que si introduces tus datos allí serán enviados directamente al ciberdelincuente, pues la página web no es la del banco real si no una réplica creada por el atacante.
Smishing
Por otro lado tenemos al Smishing que cómo la palabra puede indicar proviene de SMS y de eso se trata básicamente. Los atacantes crean un mensaje llamativo, como por ejemplo “HAS GANADO UN CONCRUSO” y luego un link para que ingreses.
Obviamente que el link es una página web creada por el mismo atacante con el fin de robar información sobre tu persona. En la gran mayoría contraseñas y datos bancarios, al igual que el phishing. La diferencia que en este caso los ciberdelincuentes envían SMS en cadena y no correos electrónicos.
Vishing
Por último existe el Vishing que consiste en contactarse telefónicamente con la víctima. Las intenciones son las mismas que el smishing y el phishing, robarte información. En algunas ocasiones para no decir la mayoría, los atacantes intentan suplantar compañías cómo Movistar.
Mayoritariamente te ofrecen alguna oferta muy tentadora para adherirte a algún servicio. De esta forma, los cibercriminales se hacen con todos tus datos bancarios.
Para tener en cuenta:
Puedes notar que los tres términos son muy similares, lo único que cambia es el medio de comunicación para realizar la estafa. Por si no lo sabías, para realizar estos ataques, los delincuentes utilizan herramientas gratuitas que cualquier persona, incluso tú puede obtenerlas fácilmente.
Es muy común que estos ataques se realicen mediante software cómo “Engineer toolkit” y desde sistemas operativos Linux, por ejemplo Kali Linux o Wifisllax.
Estos sistemas y herramientas son utilizados por expertos en Ciberseguridad, es decir para Hacking Ético. Sin embargo muchos usuarios lo utilizan para todo lo contrario.
Si quieres saber más conceptos de seguridad informática básicos te recomiendo visitar la página de la Oficina de Seguridad del Internauta.
También, puedes visitar el sitio de OFFENSIVE Security , un grupo muy importante de ciberseguridad en todo el mundo.
Con toda esa información no creo que caigas en ningún intento de ciberestafa. De todas formas, veremos algunos ejemplos reales de Phishing, Smishing y Vishing comunes a dia de hoy en España.
La estafa de CaixaBank.
En este ejemplo te mostraré como es un intento de phishing real que está ocurriendo en España. Como ya tienes bastante en claro todos los conceptos, iré directo al grano.
En este caso en concreto, los ciberdelincuentes envían un correo suplantando a CaixaBAnk. Cómo puedes ver en la imagen, el asunto del correo es “Número de Cliente” / Actualización.
En el cuerpo del mensaje, los atacantes te hacen creer que tu cuenta está suspendida y obviamente adjuntan un botón con destino a una web falsa. La misma, será una réplica de la web de CaixaBank.
En el caso que la víctima haga clic en el botón de “Haga clic aquí” será redirigido automáticamente a una página web. (La que mencione anteriormente, la replica que el atacante diseñó). En este caso, la página web falsa de CaixaBank tiene la siguiente interfaz:
Pues, no hay mucho más que decir ya que la imagen habla por sí misma. Si introduces tus credenciales de CaixaBank y haces clic “Entrar a CaixabankNow” estarás otorgándole tu acceso bancario al ciberdelincuente.
Así funciona la campaña de phishing de CaixaBank, muy simple de comprender para evitar ser víctima de una estafa.
La estafa del Banco Santander.
Aquí también mediante el phishing, los ciberdelincuentes intentarán hacerte creer que son el mismo Banco Santander. El correo que utilizan puede ser aleatorio, sin embargo el asunto es “ẞanco Santander”.
En cuanto al mensaje del correo es el mismo de la imagen, en este caso informándote de una supuesta actualización. En el caso que la víctima ingrese a la URL maliciosa haciendo clic en “Acceso Clientes” será redirigido a la siguiente web falsa:
Como puedes ver, el sitio parece muy real, para no decir igual a la web real de Santander. Lo que sigue ya lo sabes, la victima pone su Número de documento y clave para que sean enviados directamente al delincuente.
Estafa vía smishing del banco BBVA.
Otro ejemplo de las estafas que rondan por España es la del BBVA. En este caso los ciberdelincuentes optan por contactar a la víctima mediante SMS. El mensaje que programan los atacantes es el siguiente o similar.
Por lo tanto cuando la víctima ingrese al enlace se topara con una interfaz de inicio de sesión del BBVA. La web obviamente, es falsa.
Aquí, aplica lo mismo que los ejemplo anteriores, pones tus datos y los mismos son enviados al delincuente.
Estafa de phishing y vishing de Vodafone.
Por último, otra estafa de la que mucha gente ha sido víctima es la de Vodafone. En este caso, utilizan las técnicas de phishing y vishing.
Por un lado, llaman a la víctima por teléfono, un supuesto operador de Vodafone, obviamente, un estafador. A su vez, los atacantes redactan un correo a la víctima con un mensaje en el cual supuestamente debes una factura.
En el mismo cuerpo del mensaje adjuntarán un archivo como “Factura pendiente” por ejemplo. Ese archivo contiene algún virus malicioso de gran importancia. Es decir, no es un virus que instala una barra de búsqueda en tu navegador o te llena de publicidad invasiva. Son virus informáticos delicados, con intenciones de obtener información sensible de la víctima.
En esta campaña de ciberdelincuencia se puede apreciar cómo los atacantes utilizan el phishing y el vishing. Ya que por un lado te envían un correo electrónico malicioso con intención de meterte un virus.
Por otro lado, se toman el tiempo de llamarte y hacerse pasar por un operador real de Vodafone. De esta forma parece más real y al llamarte intentarán convencerte de que debes realmente una factura y te incitarán a descargar la supuesta factura. (El virus)
Consejos para evitar todo tipo de ciberestafas.
Para finalizar con este artículo me gustaría dejarte un listado de consejos simples. Estos te ayudarán a no caer en ninguna estafa similar a las mencionadas. Debes saber que no solo se utiliza el phishing para los ejemplos que vimos. Es muy común que con este método los atacantes intenten hackear redes sociales, cómo Instagram o Facebook.
- Siempre revisa quien te mando el correo, es decir el remitente. Puede ser que el correo no tenga nada que ver con el banco, cómo vimos en el ejemplo de Santander.
- En el cuerpo del mensaje, presta atención a la ortografía. En muchos casos estos correos suelen tener faltas de ortografía debido a una mala traducción al español.
- Piensa dos segundos si tiene sentido el mensaje que recibiste, ya sea smishing o phishing. Por ejemplo, en el caso de BBVA que solicita una “actualización” – no tiene ningún sentido.
- Ponte en contacto con la entidad bancaria para verificar que realmente es un intento de estafa.
- En el caso de recibir llamados telefónicos (vishing) nunca brindes información sensible al supuesto operador. Tampoco sigas sus pasos para descargar algún archivo, cómo el caso de Vodafone.
- Las páginas web falsas de bancos o redes sociales suelen tener algo que delata su falsedad. Por ejemplo no tienen protocolo HTTPS es decir que cuando ingreses, el navegador te avisará que la conexión no es segura. También verifica la ortografía de la URL. Pues en muchos casos utilizan nombres muy similares a los reales, puede ser “Faceboook” “Insgram” “BBBBVA” por ejemplo. Alguna falla siempre encontrarás en los ataques clásicos de phishing.
Eso ha sido todo, estoy seguro que luego de leer este artículo no caerás nunca en ningún intento de ciberestafa.
¡Si tienes algún comentario o duda, déjalo abajo!