Empieza la campaña del Black Friday y esta vorágine de compras atrae también a los ciberdelincuentes. Las tácticas maliciosas van desde campañas de «phishing» y estafas hasta ataques a sistemas de pago y robo de datos
20 nov 2023 . Actualizado a las 17:25 h.Arranca la semana más importante de las compras online de todo el año aunque, al igual que ocurre con la Navidad, también el Black Friday ha pasado de ser un día de compras a una semana e incluso un mes de descuentos, noviembre, en el que comercios físicos y virtuales ofrecen grandes gangas para animar al consumismo. Y es que la campaña comercial de este viernes negro y del Cyber Monday que le sigue, del 24 al 27 de noviembre, ya se ha consolidado en todo el planeta como uno de los momentos en los que se concentra el mayor volumen de compras online del año. En general, más de la mitad de los españoles (un 53%) piensa aprovechar este momento para hacer sus compras, una cifra superior al 43% que marca la media global.
Y cuando hay mayor volumen de ventas hay también un mayor riesgo de estafas. Por ejemplo, el año pasado se registraron más de 118.000 incidentes de ciberseguridad, un 9% más en comparación con el año anterior, según el Balance de Ciberseguridad 2022, publicado por el Incibe, el Instituto Nacional de Ciberseguridad de España. De estos incidentes, más de 110.100 afectaron a empresas y ciudadanos, y un tercio de ellos resultó en la filtración de datos sensibles. El mismo informe indica que se detectaron más de 650 tiendas online fraudulentas. «Hay un incremento en las actividades de los ciberdelincuentes, las tácticas maliciosas van desde campañas de phishing y estafas hasta ataques a sistemas de pago y robo de datos», alertan desde Cipher, la división de ciberseguridad del Grupo Prosegur.
Buena parte de los ataques se producen por medio de ingeniería social, es decir, engañando a la persona haciéndose pasar por quien no se es para obtener información privada o dinero: «Debemos extremar las precauciones estos días porque está comprobado que este tipo de ciberdelitos aumenta considerablemente», reitera Jorge Sanz, director del Máster FP en Ciberseguridad del Centro Universitario U-tad. Y recomienda siempre reflexionar, comparar y verificar antes de comprar, «y también, muy importante, antes de pinchar en cualquier enlace».Recogemos en una lista algunos de los ciberataques más utilizados estos días:
- Tiendas online fraudulentas: en estas fechas en las que se utiliza más que nunca el comercio online, los cibercriminales suelen crear aplicaciones web falsas, ya sean tiendas inventadas o copias de franquicias ya existentes, donde el usuario, atraído por ofertas cae en su trampa. Lo recomendable es siempre asegurarse de que la tienda es legítima, buscando información en internet y revisando desde dónde ha llegado la información y validarla en Internet. Y ojo con los SMS: en muchas ocasiones, los hackers envían mensajes donde redirigen al usuario a dichas aplicaciones fraudulentas.
- Phishing: se trata de una de las técnicas más antiguas y fáciles de realizar por un delincuente y aunque la sociedad parece conocerla sigue habiendo estafas de este tipo. Consiste en engañar a un usuario haciéndose pasar por una persona, empresa o servicio que inspire confianza. Puede ser un banco, una compañía de servicio de streaming o un familiar. Se crea un mensaje falso que suene convincente y que requiera una acción inmediata. Este tipo de mensajes, además, añaden un link a una página web falsa creada por el atacante con el objetivo de ver todos los datos que se hayan introducido por los usuarios. Este tipo de ciberataque se suele enviar de forma masiva por correo electrónico para que alguien caiga en la trampa. En los últimos tiempos se han detectado también estafas a los usuarios de una popular plataforma de venta de segunda mano que usa esta técnica para redirigirles a un sitio falso y así comprometer su seguridad. Para no morder el anzuelo, se recomienda acceder al servicio por medio del navegador, sin utilizar ningún link que haya en ningún mensaje, parezca o no legítimo.
- Vishing: este es un ciberataque relativamente reciente que consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa para obtener información confidencial sobre un usuario. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, por muy urgente que parezca ser el trámite que se deba hacer, lo mejor será colgar y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata.
- Sim swapping (duplicado de tarjeta SIM): tras haber hecho un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante se hace pasar por la víctima para solicitar un duplicado de su tarjeta SIM, para conseguirla, muchas veces es suficiente con llamar a la compañía de teléfono y dar el DNI junto con el nombre completo. Con ella, el malhechor se puede hacer pasar por el usuario en numerosos servicios, confirmar códigos de verificación y hasta realizar compras. Si recibimos uno de estos mensajes de confirmación con un código de seguridad que no haya sido solicitado por nosotros, cuidado.
- Bizum inverso: se trata de un servicio gratuito que permite enviar y recibir dinero de móvil a móvil, sin necesidad de números de cuenta, pero donde no solo se pueden hacer pagos, sino que también se pueden realizar solicitudes de dinero. Esta segunda opción no es muy conocida por el gran público, y es la que usan los ciberdelincuentes en plataformas de venta de segunda mano para estafar. Muestran interés en comprar un artículo y acuerdan hacer el pago a través de este medio, pero en lugar de mandar el dinero, remiten una solicitud de pago, donde la víctima (vendedor) en realidad está autorizando una transferencia por el importe de su cuenta a la del estafador.
- Robo de identidad aprovechándose de una filtración de datos: Los ciberdelincuentes están siempre buscando brechas de seguridad -sobre todo en webs «jugosas» como grandes comercios online o redes sociales- para entrar y obtener cuentas de usuario y contraseñas. Una vez se hacen con ellos pueden utilizarlos para suplantarnos, venderlos o publicarlos en Internet, por lo que puede suceder que pasado un tiempo de esa filtración otro atacante distinto use los mismos datos para cualquier otro timo o suplantación. Para protegerse de este tipo de ataques, es recomendable crear una contraseña diferente para cada sitio y, cada cierto tiempo, comprobar si nuestra dirección de correo electrónico está comprometida, a través de la web https://haveibeenpwned.com/-. Si resulta que sí lo está, deberemos cambiar la contraseña no solo en ese sitio, sino que en todos en los que uses la misma clave o un derivado de ella.
- Malvertising: los ciberdelincuentes utilizan anuncios online para distribuir programas maliciosos o redirigir el tráfico del usuario. Los ciberdelincuentes inyectan anuncios infectados en redes publicitarias legítimas que muestran anuncios en sitios web de confianza. Por lo tanto, es importante evitar hacer clic en cualquier anuncio mientras se navega por Internet y verificar siempre su origen en el sitio web.
Los comercios, primeras víctimas de los ciberataques
Esto por la parte del comprador; pero los dueños de comercios electrónicos tampoco pueden bajar la guardia, pues son las primeras víctimas de estos ciberataques cuyo objetivo es acceder a sus datos, redes, aplicaciones e infraestructuras, según alertan los expertos en ciberseguridad de Tehtris, software de ciberseguridad europeo experto en la lucha contra estos sabotajes. Y en contextos como el Black Friday más, las marcas famosas se convierten en víctimas de campañas de ingeniería social en las que los atacantes suplantan su identidad a través de ofertas y tarjetas de regalo falsas, encuestas online o spear phishing. «El ingenio de los atacantes es un hecho y para las organizaciones ya no basta con mantenerse vigilantes; deben reforzar su resistencia, asegurarse de tener suficiente personal, tanto cualificado como consciente de los riesgos cibernéticos e implementar procesos bien definidos, así como tecnologías necesarias y probadas», reflexiona Pedro Morcillo, Country Manager de Tehtris para España. Y ofrece seis recomendaciones para que las organizaciones se anticipen y estén protegidas para responder a un ataque lo antes posible:
- Verificar que existe un plan ante problemas que garantice la que continuidad de la actividad está preparada y es conocido por todos los equipos.
- Asegurarse de contar con personal cualificado, consciente de los riesgos cibernéticos, durante este período específico.
- Garantizar un nivel óptimo de detección mediante el uso de tecnologías capaces de compensar al ser humano, y que sea el software el que le protege.
- Aplicar el método de zero trust, la gestión de parches, vigilar continuamente las vulnerabilidades, así como a sus posibles enemigos para conocer su comportamiento y su TTP (tácticas y procedimientos técnicos).
- Automatizar el nivel de respuesta en caso de desviación o incidente de comportamiento.
- Estar preparados en caso de crisis. La resiliencia pasa por la preparación y que estar preparado para afrontar una crisis cibernética. Es imprescindible preparar todas las preguntas y tener las respuestas.