Las estafas online aumentan cada año y con el tiempo se vuelven más sofisticados. El secreto del éxito de los ciberestafadores es dirigirse a los grupos vulnerables. Su desconocimiento del mundo digital, combinado a veces con la falta de conocimientos lingüísticos, la soledad, el aislamiento social y/o un nivel cultural más bajo, los convierten en víctimas fáciles de este tipo de delitos.
Al igual que con otros delitos digitales. El anonimato y la propia estructura de Internet dificultan enormemente la búsqueda de los autores.
Las ciberestafas pueden ser tan diversas como lo permita la imaginación de los delincuentes. Sin embargo, la mayoría de ellas coinciden en su modus operandi, lo que permite analizar las más utilizadas.
El phishing es un tipo de fraude realizado por medios telemáticos que consiste en la imitación, por parte del delincuente, de la identidad digital de una empresa, organismo o administración, con el fin de obtener las claves de la víctima que le permitan acceder a su cuenta bancaria.
Aunque ha experimentado numerosas variaciones, el phishing suele consistir en que el delincuente envía un correo electrónico, un sms o incluso utiliza aplicaciones de mensajería como Whatsapp, para hacerse pasar por un banco.
En el mensaje, el delincuente notifica que hay un problema relacionado con la cuenta de la víctima: está en descubierto, hay una cuenta que no se ha podido procesar... el mensaje es siempre urgente y apremiante. Insta a la víctima a hacer clic rápidamente en un enlace para resolver un problema que podría costarle dinero o incluso problemas legales.
El enlace en cuestión conduce a una página falsa (también una imitación del sitio web del banco u organización imitada) en la que se pedirá a la víctima que introduzca sus datos secretos de identificación de la banca online (nombre de usuario, contraseña, pin) o los datos de su tarjeta (número de tarjeta, pin de seguridad, fecha de caducidad, etc.) o cuenta bancaria. Una vez introducidos estos datos en la página falsa, el delincuente los utilizará para robar el dinero de la víctima a través de transferencias o pagos con tarjeta.
El phishing es el tipo de ciberamenaza más fácil de llevar a cabo, ya que requiere unos conocimientos técnicos mínimos por parte del delincuente, que no requiere conocimientos demasiado sofisticados. Lo único que tiene que hacer es crear una página web similar a la original y enviar correos electrónicos de forma masiva. Aunque muchos se darán cuenta, otros caerán en la trampa.
El vishing es el mismo tipo de estafa realizada a través del teléfono. Esto hace que las personas mayores sean las víctimas preferidas. Las personas mayores tienden a desconfiar de la banca y las compras por Internet, pero están mucho más acostumbradas a realizar transacciones por teléfono, sobre todo cuando tienen problemas de movilidad o enfermedades crónicas que les impiden desplazarse.
Una vez más, se suplanta la identidad de una empresa, organización o contacto de confianza para obtener información personal y sensible de la víctima con el fin de robar, en este caso a través de una llamada telefónica.
smishing: La misma estafa pero a través de sms, que incluye un enlace que lleva a una página fraudulenta o a un número de teléfono de tarificación adicional.
Quid pro quo: A través de correo electrónico, sms, whatsapp o redes sociales, el estafador promete regalos, dinero en efectivo, acceso a servicios como Netflix, ofertas increíbles o grandes cupones de descuento. Para conseguirlos, la víctima tiene que rellenar un formulario en el que se le piden datos personales y, normalmente, bancarios o de tarjetas.
Addline phishing: Consiste en acceder al dispositivo de la víctima (ordenador, teléfono o tableta) con la intención de robar la información almacenada en él de cuentas personales (correo electrónico, cuentas bancarias, sistemas de pago, Amazon, ...), utilizando redes Wifi gratuitas maliciosas. Esta información robada permitirá realizar operaciones fraudulentas utilizando sus contraseñas y suplantando así a la víctima.
Catphishing: El delincuente crea un perfil falso en una red social (o varias) y lo utiliza para establecer una relación virtual con la víctima. El objetivo es una falsa relación amorosa, por lo que es un delito común en plataformas de citas como Tinder. Sin embargo, también ocurre en las redes sociales en general.
Se utiliza una estrategia similar a la del grooming, ya que el agresor se hace pasar por alguien que no es, normalmente durante meses. Esto no significa que el delincuente en cuestión se abstenga necesariamente de utilizar su voz real o de dejarse ver en las videollamadas. A menudo "viven en otro país", o "en un lugar lejano" de la víctima, lo que retrasa el encuentro en vivo.
Cuando la víctima está (o cree estar) enamorada, llega el momento del encuentro. Es en este momento cuando el delincuente aparece con algún "problema", familiar o de salud, que le impide reunirse con la víctima si no recibe una determinada cantidad de dinero. El objetivo es conseguir que la víctima aporte esa cantidad. Después de hacerlo, el criminal desaparece.
Hay algunas características particulares de las estafas de phishing que nos ayudan a identificar este tipo de ataque:
Adoptan los nombres y la imagen de empresas reales
El nombre del remitente es el nombre de la empresa o un empleado real de la empresa
Incluyen sitios web que se asemejan visualmente a los de las empresas reales
Engañan a los usuarios ofreciéndoles regalos y premios o haciéndoles creer que corren el riesgo de sufrir graves problemas inminentes, como la pérdida de una factura, un corte de luz, una sanción, etc.
La dirección del remitente intentará imitar la dirección real del banco, pero si te fijas bien, podrás detectar el error:
Dirección de correo real: m.garcia@deutsche-bank.pt
Dirección de correo falsa: m.garcia@deutchshe-bank.pt
Dirección de correo falsa (2): m.garcia@deutschebank.eu
Si hacemos clic en el enlace, el sitio web falso se parecerá visualmente al de la empresa real, pero también habrá diferencias:
El sitio web falso no comienza con https:// sino con http:// (sin "s")
Para que una dirección sea segura, debe empezar por https:// y tener el dibujo de un candado a la izquierda
https://www.cgd.pt. Si empieza por http:// (le falta la "s"), deberían sonar las alarmas.
El sitio web falso tiene una pequeña diferencia en la URL (como el correo electrónico)
URL real: https://deutsche-bank.es
URL falsa: https://deutchshe-bank.es
URL falsa (2): https://deutschebank.eu
Normalmente se nos pide que hagamos clic en un enlace para resolver el problema mencionado. En el mismo correo electrónico o en la página a la que nos lleva el enlace, se nos pedirá que realicemos un pago, proporcionemos información bancaria y/o personal para solucionar el problema. Algo que nunca debemos hacer.
A veces los delincuentes no se molestan en traducir los mensajes. Si recibimos un mensaje de nuestro banco en otro idioma, debemos sospechar.
A veces los delincuentes traducen los mensajes, pero lo hacen mal, con un traductor automático y sin revisar el texto. Si el texto tiene errores de sintaxis o utiliza palabras inusuales, debemos sospechar.
El phishing más común es un correo electrónico, un sms o un mensaje de whatsapp de un banco, un servicio de pago, una oficina de correos, una empresa de mensajería o una compañía eléctrica, pero pueden disfrazarse de todo tipo de remitentes, incluso de nuestros contactos, que podrían haber sido hackeados.
Lo más importante: Nuestro banco (o nuestra compañía de gas o de televisión...) NUNCA nos pedirá contraseñas por correo, teléfono o mensaje.
Si se trata de un correo electrónico, debemos comprobar la dirección del remitente. Si hay una URL en el mensaje, compruebe esa URL. Debemos comprobar si:
Contiene el nombre oficial del sitio web, pero no es la dirección oficial.
Utiliza el nombre oficial del sitio web con alguna letra o símbolo añadido.
Tiene un error ortográfico como "paypa1" en lugar de "paypal".
No utiliza un protocolo seguro, es decir, la URL no empieza por https://.
Si recibimos un correo electrónico o un mensaje (sms, app) que nos pide información personal o financiera, nunca debemos responder.
Si ese correo electrónico o mensaje contiene enlaces o archivos adjuntos, nunca haga clic en los enlaces ni descargue los archivos.
Si te das cuenta tarde y haces clic en el enlace o descargas el archivo, es recomendable que consultes a un técnico para que examine tu dispositivo en busca de virus.
Si tiene dudas sobre si un correo electrónico o un mensaje es legítimo, póngase en contacto con el remitente (banco, compañía eléctrica, correos) o acuda a una oficina en persona y pregunte.
Las ciberestafas aprovechan principalmente la falta de presencia física para estafar a las víctimas de una manera diferente, pero en esencia no han cambiado mucho en comparación con las estafas anteriores a Internet. Los estafadores juegan con las esperanzas y los deseos de la gente.
Aparte del phishing y sus derivados, las principales estafas en línea son:
Premio falso del extranjero
Se trata de un derivado de la llamada "lotería nigeriana". La víctima recibe un correo electrónico en el que se le anuncia que ha ganado un gran premio en metálico. Hubo un caso en el que el premio era concedido por una supuesta "Fundación Google".
Tras varios intercambios de correos electrónicos para recabar toda la información posible de la víctima y organizar la entrega del premio, empiezan a surgir problemas burocráticos debido a la complicación de cobrar un premio concedido por un país extranjero.
Para solucionar estos problemas, la víctima tendrá que enviar una transferencia de dinero para pagar las tasas, los impuestos, el papeleo, los abogados, etc. "necesarios" para cobrar el premio.
Falsa oferta de trabajo
La víctima recibe (o encuentra mientras navega por Internet) una buena oferta de tele-trabajo.
Realiza una entrevista, normalmente por correo electrónico, y es "contratado" para el puesto.
Antes de empezar a trabajar, y de nuevo por un problema burocrático, la víctima tiene que adelantar el dinero de los materiales necesarios para hacer el trabajo.
Los materiales sólo pueden comprarse a un único proveedor, que es el propio estafador o su cómplice.
El empresario promete que te devolverá el dinero con tu primer sueldo, lo que obviamente no ocurrirá porque el trabajo nunca existió.
Falsa oportunidad de compra
Documentos oficiales falsos
Si compras un documento oficial falso (por ejemplo, un certificado de vacunación) estás cometiendo un delito.
Por lo tanto, si la falsificación no es buena o el documento simplemente no llega, no podemos denunciarlo a la policía. El falsificador lo sabe y juega con esto para engañarnos.
Petición de ayuda falsa de un amigo o familiar
Digital Rights First-Aid Kit by Prolific
Project code: 2020-1-ES01-KA204-082419
This project has been funded with support from the European Commission.
This publication [communication] reflects the views only of the author,
and the Commission cannot be held responsible for any use
which may be made of the information contained therein.