Viajes en familia o con amigos que propician un vaivén de Bizums. Ajetreo con las apps bancarias para adquirir vuelos o reservar estancias de hotel. Bandejas de entrada repletas tras las vacaciones que intentamos finiquitar ágilmente. Aunque no es la única época del año en la que nos pasa, el verano nos hace un poco más vulnerables a los ciberataques, bien porque nuestra actividad online se incrementa, bien porque con la relajación vacacional bajamos la guardia ante los ataques de estos estafadores conectados.

Para más inri, la ciberdelincuencia perfecciona sus métodos, aprovecha la coyuntura y adapta su creatividad al momento veraniego. Aunque no siempre le sale bien la jugada; a veces por torpeza y en otras ocasiones porque la perspicacia y el conocimiento de la población –que cada vez está más acostumbrada a este tipo de ataques– ha ido en aumento en los últimos años.

Buena culpa de ello la tienen campañas de concienciación e información como las que realiza en INCIBE a través de la Oficina de Seguridad del Internauta. A ella hemos recurrido para recopilar todos los métodos de ingeniería social que los estafadores han utilizado este verano. Ahora, las recuperamos y recopilamos para hacer un repaso de los métodos más comunes de ciberestafa. Porque como mejor se aprende es con casos reales.

Phishing con Dropbox

El phishing es una de las técnicas de ingeniería social más utilizadas por la ciberdelincuencia. Se trata del envío de un correo electrónico en el que se suplanta la identidad de una entidad, empresa, institución o servicio que utilicemos y en el que confiamos. El objetivo de este correo será sustraer todo tipo de información personal y bancaria para, a posteriori, utilizarla en nuestro detrimento.

Dropbox, unos de los servicios de almacenamiento en la nube más populares a nivel global, la compañía que utilizaron estos estafadores como tapadera. Las víctimas recibían un correo para visualizar un archivo alojado en este servicio. Al clicar en el enlace, aterrizaban en una página muy similar a la que accedemos cuando nos queremos conectar a Dropbox. ¡Fijaos qué diseño! Una vez introducidos los datos de acceso en la página web falsa, los delincuentes ya tienen nuestras credenciales.

¿Has sido víctima de este ataque de phishing o de otro similar? Debes cambiar tu contraseña lo antes posible; no sólo en este servicio, sino en todos aquellos en los que utilices la misma.

Smishing con Unicaja Banco

El smishing es como el phishing pero a través de un SMS. Los delincuentes emulan a nuestro banco, una empresa de mensajería, una institución pública… para conseguir nuestros datos personales y bancarios y meter la mano en nuestras cuentas bancarias o acceder a nuestras tarjetas.

Este verano Unicaja ha sido suplantada en diversas oleadas de ciberataques –una en junio, otra a mediados de agosto–. A través de diferentes SMSs que alertaban de un problema técnico o una brecha de seguridad, los ciberdelincuentes propiciaban que los clientes asustados clicaran en el enlace adjunto. Este nos dirige a una web con una apariencia prácticamente idéntica a la de la entidad bancaria. Es ahí cuando la víctima cede, sin conocimiento, su información personal.

Si alguna vez eres víctima de un ataque de smishing, esto es lo que tienes que hacer:

  • Ponte en contacto con tu banco y cancela todas las transacciones que se hayan podido hacer sin tu conocimiento.

  • Modifica la contraseña de acceso de este y de otros servicios online en los que uses la misma combinación.

  • Haz una búsqueda en internet sobre el contenido del SMS. Si se trata de un fraude, bien las fuerzas de seguridad, bien instituciones como el Incibe o los propios usuarios estarán alertando de ello.

Sextorsion y spoofing, todo en uno

Uno de los ciberataques más sórdidos que se han visto este verano es este, que combina dos técnicas diferentes de ingeniería social. Por un lado la suplantación de identidad o spoofing. Por otro, la sextorsión:el atacante convence a la víctima de que tiene vídeos íntimos de la misma y exige algo –normalmente dinero– a cambio de no difundir dicho material.

Bajo el asunto Tiene un pago pendiente. Debe liquidar su deuda’, usuarios reportaban este verano haber recibido un correo comunicándoles que sus cuentas habían sido hackeadas, sus dispositivos infectados y controlados y esos vídeos íntimos ahora estaban en posesión del ciberestafador. Se pedía un pago en bitcoins a cambio de no difundir este material íntimo.

Si alguna vez eres víctima de este tipo de extorsión es muy importante que no pagues a los estafadores. Si realizaste el pago del chantaje, recopila pruebas y denúncialo ante las FCSE.

El phishing del 130º Aniversario de Coca-Cola

Como decíamos más arriba, es fascinante lo bien que aprovechan la coyuntura veraniega los ciberdelincuentes para perpetrar sus estafas. ¿Cuántos veranos hemos asistido a sonadas campañas de marketing y promoción y promociones de marcas de refrescos y otros productos de gran consumo con helados o cremas solares? Exacto: todos los veranos de nuestras vidas.

Pues bien, en este caso de phishing por WhatsApp, los estafadores suplantaron la identidad de Coca-Cola aludiendo al 130º aniversario de la compañía y a una promoción para conseguir regalos gratis. El malicioso objetivo en este caso es que las víctimas se den de alta en un servicio que les cobra 43,50€ cada 14 días. Un enlace nos lleva a una supuesta web de la compañía en la que nos piden responder una encuesta (un detalle que da credibilidad a la promoción). Después de la encuesta, son unas cajas regalo que elegir. Y después, nos redirecciona a una nueva página, esta vez de Shell, en la que podemos adquirir 500 euros de combustible por tan sólo 2 euros. Es ahí cuando nos piden nuestros datos personales y bancarios y ejecutamos la suscripción de los 43,50 €.

Como ya hemos dicho antes, si has sido víctima de una estafa de phishing y has proporcionado tus datos bancarios, ponte en contacto inmediatamente con tu banco y fiscaliza los movimientos que veas en tu cuenta en los próximos días. Y, por descontado, cambia las credenciales de acceso.

Los compradores sospechosos de Wallapop y Vinted

El último de estos ciberataques tuvo lugar hace escasos días en las plataformas de compraventa de segunda mano Wallapop y Vinted, dos aplicaciones que, con la vuelta al cole y a la rutina, ven como aumenta su uso considerablemente. El objetivo de los ciberdelincuentes en este caso es conseguir datos bancarios de personas con productos a la venta en las apps. Para ello, presionan al vendedor para que las comunicaciones y el pago se realicen fuera de las propias aplicaciones.

Este detalle ya nos tiene que hacer sospechar que podemos estar siendo engañados, puesto que los servicios como Wallapop y Vinted tienen sus propios procesos de pago seguros. En este punto lo mejor es denunciar al usuario y cortar la comunicación. Una vez fuera de la app, el vendedor debe introducir sus datos bancarios para cobrar el dinero de la venta. Y es en este punto cuando cede sus datos a los delincuentes.

Si este otoño te encuentras con algún caso de ciberestafa o intuyes que puedan estar aplicándose técnicas de ingeniería social, no lo dudes: reporta el fraude a través de la web del INCIBE: https://www.osi.es/es/reporte-de-fraude