Los códigos QR no son una novedad. Sin embargo, no ha sido hasta la irrupción de la pandemia de COVID-19 y la eclosión de la Low Touch Economy que los hemos empezado a ver por todas partes. Escanearlos para acceder a información sobre un producto o servicio es cada vez más habitual, una práctica no exenta de riesgos. Por eso, los negocios deben pasar a la acción y proteger a sus clientes contra ataques como el phishing a través de QR o Qrishing.

Quien más, quien menos, tiene en su smartphone un escáner de códigos QR. Y esta es una oportunidad que los ciberdelincuentes no podían dejar escapar. Esa es la razón por la que, en los últimos tiempos, han comenzado a proliferar los conocidos como ataques de phishing a través de QR o Qrishing.

Estos ataques buscan que el usuario de un código QR proporcione sus credenciales mediante el escaneo de un código que puede estar presente en una página web, mensaje o correo electrónico, pero también en la mesa de un restaurante o un cartel en la pared de un establecimiento. Al escanearlo, se redirige al usuario a una página web que suplanta a la de la empresa, que le solicitará información confidencial.

Se trata de ataques que combinan tecnología con ingeniería social y que se aprovechan de la relación de confianza entre clientes y empresas para hacerse con información valiosa. Esta es la razón por la que las empresas que utilicen códigos QR para informar a sus clientes sobre productos o servicios deben permanecer alertas para protegerlos. Sin embargo, no es la única.

Los ataques de tipo phishing no son los únicos que pueden poner en riesgo a los usuarios de un negocio que utilicen códigos QR. Como estos elementos pueden hacer mucho más que abrir una página web, las posibilidades de fraude son muy variadas.

Los códigos QR pueden ejecutar comandos directamente. Por ejemplo, añadir contactos a la lista del smartphone, realizar llamadas o añadir una red wifi con credenciales para conectarse automáticamente.

Esto facilita, entre otras cuestiones, la descarga de código malicioso en el dispositivo, la suscripción a servicios premium no solicitada e incluso unir el teléfono a una botnet para participar en un ataque contra un sitio web legítimo. También abre la posibilidad de agregar un contacto a la lista del teléfono para ganar credibilidad en una llamada para tratar de estafar al usuario, hacer llamadas a cobro revertido o incluso identificar la ubicación del usuario.

Los secuestros de sesión a través de QR, por su parte, se caracterizan por la captura de las credenciales de un usuario cuando intenta acceder a un servicio de inicio de sesión mediante uno de estos códigos. Los ciberdelincuentes podrán después utilizarlas para acceder a la información contenida en la cuenta.

Está claro que hay personas dispuestas a aprovecharse de la popularidad de los códigos QR para realizar distintas estafas. Sin embargo, los negocios no se encuentran indefensos ante estos ataques.

De hecho, el Instituto Nacional de Ciberseguridad (INCIBE) propone una serie de buenas prácticas y recomendaciones que las empresas pueden poner en práctica. Así podrán continuar utilizando estos códigos con seguridad y, sobre todo, garantizar la de sus clientes.

Revisar de manera frecuente que los códigos QR presentes en un establecimiento o en sus canales digitales no han sido cambiados ni modificados por terceros puede ahorrar muchos disgustos.

Entre otras comprobaciones, conviene cerciorarse de que nadie ha colocado un código QR falso por encima del original para iniciar un ataque de phishing a través de QR. Esto sirve tanto para anuncios físicos —sobre los que resulta fácil poner pegatinas— como para banners y otros elementos digitales en webs y apps.

El link al que dirige el código QR también debe revisarse de manera periódica. En este caso, se debe comprobar que el código QR redirige efectivamente a la página que le hemos indicado y que coincide con la que se indica en la carta o el anuncio. También que la URL pertenece a un sitio confiable y que no aparece acortada con el fin de dificultar su comprobación por parte del cliente.

A la hora de generar los propios códigos QR, conviene confiar en servicios que ofrezcan las suficientes garantías de seguridad y que proporcionen un enlace correcto allí donde se desea dirigir al usuario.

En ocasiones, algunos negocios utilizan los códigos QR para facilitar el acceso a determinados servicios. Pueden ser de transporte, de ocio o incluso a áreas reservadas. En este caso, conviene ser lo más discretos posibles y no difundirlos en redes sociales para evitar fraudes.

Es una cuestión muy importante que nos preocupa a todos, aunque a nuestros abuelos ni se les hubiera pasado por la cabeza perder un minuto pensando en ella. La verdad es que el concepto de seguridad ha cambiado mucho con la introducción de internet en nuestras vidas. Lo que antes se limitaba a evitar que algún enemigo de lo ajeno entrara en el hogar o a mantener a los animales domésticos lejos de depredadores, hoy también se extiende a una de nuestras posesiones más preciadas: nuestros datos.

La sociedad de la información demanda, lógicamente, medidas de seguridad a la altura de las nuevas amenazas que han surgido en torno a ella. Webs maliciosas, ataques por correo electrónico o incluso conexiones wifi comprometidas están constantemente al acecho para hacerse con nuestros datos o incluso pedirnos un rescate.

El Día Internacional de la Seguridad de la Información es un buen momento para dedicar unos minutos a aprender buenas prácticas que nos ayudarán a mantener nuestros datos a salvo de los nuevos depredadores. Especialmente este año, cuando una pandemia mundial nos ha llevado a intensificar nuestra actividad on-line en todo tipo de ámbitos.

Así lo indican los datos: el comercio electrónico se ha disparado este año, hasta el punto de que tres de cada cinco españoles ya compran por internet, según la Encuesta sobre Equipamiento y Uso de Tecnologías de Información y Comunicación en los Hogares del INE. El estudio también indica que, de media, gastamos unos nueve euros más que el año pasado, entre otras razones porque compramos mucho más a menudo. Además, el 81% de los españoles de entre 16 y 74 años utilizan internet varias veces al día, lo que supone 6,1 puntos más que el año pasado.

El estudio también desvela que la seguridad on-line nos preocupa: tres de cada cuatro usuarios de internet en los últimos tres meses mostraron su inquietud respecto a que sus actividades on-line estuvieran siendo monitorizadas, mientras que dos de cada cinco declaran confiar poco o nada en internet.

¿Qué podemos hacer para que nuestra experiencia on-line sea más segura y eliminar temores? Es tan sencillo como seguir algunos consejos que nos ayudarán a mantener la seguridad de nuestras operaciones:

– Mantén actualizados el sistema operativo y las aplicaciones: esta es una de las principales garantías para evitar que los ciberdelincuentes puedan aprovecharse de alguna puerta abierta en tu equipo. Actualizar no es la tarea más gratificante del mundo, ya que lleva su tiempo y puede requerir un reinicio del equipo. Sin embargo, es fundamental para evitar vulnerabilidades del software.

– Cuidado con los correos electrónicos: en tiempos de pandemia, debes tener especial cuidado con los correos que recibas relacionados con el coronavirus, sobre todo los que pueden despertar tu curiosidad, como los que prometen una cura, ya que pueden ser ataques de phishing que buscan quedarse con tus datos. Por supuesto, evita descargarte archivos cuyo origen desconozcas y que puedan infectar tu equipo.

Analiza también con cuidado el remitente de los mensajes que recibes. Aunque te parezca que es alguien conocido, debes poner siempre atención a su dirección de correo y no fiarte únicamente del nombre que se muestra. Esta precaución se debe a que cualquier servicio legítimo o entidad bancaria o incluso una persona conocida puede ser suplantada para engañarte. Si tienes la más mínima duda, contacta con el remitente por otro canal para verificar la legitimidad de su mensaje.

– Utiliza la firma digital para confirmar tus operaciones bancarias: la entrada en vigor de la normativa PSD2 (Directiva Europea de Servicios de Pago) obliga a los proveedores de servicios de pago a aplicar determinados procedimientos con el fin de mejorar los derechos y la seguridad del consumidor. Entre los procedimientos que cumplen con ella se encuentra la firma digital, que sustituye a la tradicional tarjeta de coordenadas para autorizar operaciones de manera más segura.

La app CaixaBank Sign es un ejemplo de ello. Permite a los usuarios firmar sus operaciones con un solo clic desde el móvil, de manera totalmente segura.

– Mantén la seguridad en todas tus operaciones con el banco: además de emplear la firma digital, puedes tomar algunas precauciones extra para asegurar tus operaciones bancarias. Por ejemplo, leer detenidamente la descripción de la operación antes de firmarla y verificar que los datos son correctos. También conviene que protejas tu móvil con una contraseña para desbloquearlo y analices cualquier notificación que te llegue, antes de clicar en ningún enlace.

– Ojo con las wifi públicas: si vas a utilizar alguna, debes extremar las precauciones. Lo mejor es que utilices una red privada virtual o VPN que cuente con un antivirus actualizado. Ante una wifi pública, evita navegar por páginas web que necesiten entrada de datos personales, como contraseñas o usuarios.

– Cuida la información que subes a internet: todas las imágenes e información sobre nosotros que compartimos en internet dejan un rastro que conforma nuestra identidad digital. Por eso solo debemos compartir aquella información personal que consideremos cien por cien pública.

Mantener nuestra información a salvo es cuestión de no bajar la guardia e incorporar una serie de hábitos de seguridad. Así mantendremos nuestros datos lejos del alcance de quienes quieran utilizarlos sin permiso.

Gestionar un negocio es una tarea apasionante y, al mismo tiempo, ardua. Son muchos los factores que influyen a la hora de alcanzar o no el éxito y, si se logra, mantenerse en él. Por esa razón es tan importante protegerlo de amenazas como los fraudes a empresas, un problema que sufren todo tipo de compañías, desde las más pequeñas hasta las de mayor tamaño.

Efectivamente, los fraudes a empresas son un quebradero de cabeza para cada vez más negocios. Así lo apunta la Encuesta Global sobre Fraude y Delitos Económicos 2020, elaborada por la consultora PWC: casi la mitad de las empresas, el 47%, habían sido víctimas de este tipo de engaños en los últimos dos años. De ellas, el 13% había perdido más de 50 millones de dólares por esta causa.

La buena noticia es que los ataques de los estafadores se pueden prevenir. Para ello, conviene conocer las técnicas de fraude más habituales y tomar algunas precauciones para evitar que lleguen a afectar a la empresa.

En este sentido, los expertos Jordi Sánchez y Javier Jiménez, del Departamento de Seguridad de CaixaBank, ofrecieron algunas claves durante la jornada “Fraude al cliente bancario en el contexto de la empresa”, organizada por la entidad para sus clientes empresa. Durante su exposición, explicaron las graves pérdidas que provocan los fraudes y ofrecieron algunos consejos útiles para cualquier negocio, de los más tradicionales a los más tecnológicos, que quiera protegerse contra ellos.

Tal y como explicaron los expertos, los delincuentes tratan de provocar prisas en sus víctimas para que actúen como ellos desean sin tiempo para pensar bien lo que están haciendo. Se trata de uno de los rasgos más habituales en los fraudes, que en muchas ocasiones proponen plazos cortos para realizar una acción determinada.

De hecho, las prisas son una de las claves del conocido como fraude del CEO. En él, los ciberdelincuentes atacan el correo electrónico de la empresa o de algún directivo para suplantar su identidad o utilizan una dirección muy similar a la suya. Entonces, envían un correo para solicitar a algún subordinado que realice cierta acción, como por ejemplo un envío de dinero. Estos mensajes suelen incluir una llamada a la rapidez para que el receptor del correo electrónico no tenga tiempo de comprobar si la orden recibida es legítima.

Tal y como destacaron los expertos, la prisa es un factor que también es muy común en otros tipos de fraudes. Un ejemplo de ello es el phishing, por el cual los delincuentes tratan de obtener información personal y bancaria de los usuarios suplantando una entidad legítima, como un banco, una red social o una empresa. Otro sería el fraude del técnico de empresa informática, que alerta sobre un incidente grave en un ordenador y pide realizar comprobaciones en remoto, para acabar accediendo a una cuenta bancaria.

Los delincuentes suelen urgir a su víctima a realizar una acción, como puede ser una operación financiera, y también suelen pedir confidencialidad para evitar que compruebe la validez de la orden recibida. Por ese motivo, lo aconsejable es comprobar siempre la autenticidad de la petición antes de realizar acciones de este tipo.

Precisamente para detectar a tiempo si estamos siendo víctimas de un fraude, conviene prestar mucha atención a las comunicaciones que recibimos. De esta manera, podremos apreciar algunas de esas características que nos pueden poner en alerta, como las comentadas anteriormente de las prisas o la petición de confidencialidad. También es habitual que los delincuentes pidan contactar con terceros y realizar pagos mediante varias transferencias de dinero en lugar de una sola, con el objetivo de evitar que la entidad destinataria lo retenga.

También si observamos con detenimiento las comunicaciones recibidas será más sencillo detectar si proceden de alguna dirección web falsificada. En el ejemplo del fraude del CEO, los delincuentes en muchas ocasiones cambian solamente una letra de la dirección de correo electrónico del remitente al que tratan de suplantar. Como resultado, el destinatario no llega a percibir la suplantación.

Por todo lo expuesto, es importante sospechar ante cualquier petición poco habitual, incluso si procede de alguna persona conocida. A continuación, hay que verificar si, efectivamente, ha sido esa persona quien la ha formulado. Una verificación que se debe realizar a través de un canal distinto al que se ha utilizado para recibir la petición. También conviene concienciar al personal de la empresa para que permanezca alerta ante este tipo de ataques.

Asimismo, no conviene facilitar datos a la ligera que los delincuentes puedan utilizar. En este sentido, es importante restringir al máximo la información pública de la empresa, como el organigrama que suele aparecer en la página web o la información accesible a través de los perfiles de las redes sociales.

Tampoco se debe facilitar la identidad de los clientes de la empresa, que se suele utilizar en el conocido como fraude de las facturas. En este engaño, los delincuentes se hacen pasar por nuestra empresa para reclamar en nuestro nombre el pago de alguna factura con un número de cuenta modificado.

Tanto si detectamos que alguien intenta defraudar a nuestra empresa como si hemos sido víctimas de uno de estos engaños, debemos ponernos en contacto con nuestra entidad bancaria cuanto antes. En este sentido, el tiempo de reacción es muy importante para tratar de minimizar los daños. Además, contribuiremos a evitar que les ocurra a otras empresas.

También es importante presentar una denuncia policial, que permitirá a la entidad bancaria reclamar, por ejemplo, una transferencia en destino para intentar retrocederla. Por último, es vital guardar toda la documentación que se tenga relacionada con el fraude, ya que puede ayudar a las fuerzas de seguridad a realizar sus propias investigaciones.

Tal vez este año no hayamos bailado la canción del verano, pero sí ha habido una frase que se ha repetido por todas partes: “¡Qué verano más raro!”. Y es cierto que estos meses han sido muy distintos a lo habitual. La pandemia de la COVID-19, que lo inunda todo, tiene mucho que ver.

Una de sus consecuencias más cotidianas tiene que ver con la falta de contacto físico: nuestra manera de comprar un helado o pedir la carta en un restaurante ha cambiado, y tampoco asistimos a conciertos o espectáculos como antes. Incluso hemos visto playas con semáforo para regular el aforo con un objetivo claro: reducir el contacto entre personas para evitar contagios.

En realidad, la pandemia no ha hecho más que acelerar una transformación que ya tenía una fuerte influencia en nuestra manera de relacionarnos y que afectaba también distintos sectores económicos. La Low Touch Economy o economía de bajo contacto era ya una realidad que se materializaba en gestos tan cotidianos como la compra a distancia, el pago a través del teléfono móvil o incluso la oferta de formación en lína.

Entonces se trataba de eliminar barreras físicas y facilitar la experiencia de los consumidores. Ahora, además, hay que reducir a la mínima expresión el contacto de superficies comunes para evitar contagios. Para lograrlo, ha surgido una serie de productos y servicios que conforman esa Low Touch Economy, un concepto que parece haber llegado para quedarse.

Lo cierto es que la falta de contacto en ciertas circunstancias es una enorme ventaja. Hay una infinidad de procesos que se pueden beneficiar de las tecnologías y servicios sin contacto. El pago de productos y servicios es tal vez el más evidente: hemos pasado de contar monedas en la caja del súper a hacer un simple gesto para abonar nuestra compra. Sin embargo, no es el único.

De hecho, el concepto Low Touch Economy alude a un contexto en que la economía ha tratado de adaptarse a un contexto que exige un menor contacto físico. Esto abarca desde las tarjetas y smartphones que evitan utilizar dinero en efectivo a las soluciones de firma digital. También los autocines, las visitas virtuales a museos o las plataformas de reuniones en línea. Muchos evitan la aglomeración de personas y tener que tocar superficies comunes, pero también eliminan barreras físicas al tiempo que generan negocio.

Se trata de productos y servicios que nos ayudan a evitar riesgos en tiempos de pandemia, pero, sobre todo, a hacer nuestra vida diaria mucho más sencilla. Esa será, precisamente, la clave por la que se quedarán con nosotros incluso cuando el virus solo sea un mal recuerdo. Bienvenidos a la era de la Low Touch Economy.

Los ciberataques están a la orden del día y son muchos los ciudadanos que ya han sufrido sus consecuencias a estas alturas. Entre ellas se encuentran las relacionadas con la suplantación de identidad, una fechoría que suele tener siempre el mismo origen: el robo de información personal. Es decir, un ataque a la privacidad on-line en toda regla.

La cuestión es que, con la crisis del coronavirus, esa privacidad on-line se encuentra especialmente expuesta. La principal razón hay que buscarla en el importante flujo de información digital que circula estos días, especialmente la relativa a la propia pandemia.

Vídeos, enlaces, memes… todo tipo de archivos saltan de correo en correo y de mensaje en mensaje. También todo tipo de información sobre nuestra situación actual en la que nos encontramos y que publicamos en redes sociales. Nuestros teléfonos móviles y nuestros ordenadores echan humo con la gran cantidad de datos que compartimos. Hasta el punto de que la Organización Mundial de la Salud (OMS) ha calificado la situación actual de “infodemia”, refiriéndose a la sobreabundancia de información que circula.

Los ciberdelincuentes saben cómo aprovechar este flujo, así como nuestro deseo de recibir la máxima información posible. Por eso han encontrado la ocasión perfecta para tratar de hacerse con nuestros datos. Es el primer paso hacia una posible suplantación de identidad que puede crear más quebraderos de cabeza de los que parecen.

Puede parecer que la suplantación de identidad es un problema que solo afrontan los famosos de vez en cuando. Esto se debe a que sus casos suelen ser los más sonados. Cada dos por tres oímos hablar de alguna personalidad a la que han hackeado su perfil en una red social para publicar cualquier cosa en su nombre. Sin embargo, cualquiera puede ser víctima de este tipo de actividad fraudulenta.

Tal y como recuerda la Oficina de Seguridad del Internauta (OSI), cualquier persona que tenga en internet información personal como nombre y apellidos, edad, lugar de nacimiento o fotografías y no tenga controlado quién puede acceder a dichos datos puede ser víctima de suplantación de identidad. Incluso si esa información no está publicada en internet, siempre existe un cierto riesgo.

En cuanto a los lugares donde se desarrollan las suplantaciones de identidad, suelen darse en redes sociales, ya que en ellas resulta sencillo recopilar información sobre una persona e incluso crear un perfil falso para hacerse pasar por ella. De hecho, es habitual el uso de bots que se hacen pasar por gente real para promocionar productos y servicios o sembrar discordia.

Existen también ataques de phishing que utilizan malware para infectar nuestros equipos y hacerse con nuestra información personal. En estos ataques, los ciberdelicuentes suelen utilizar técnicas de ingeniería social para suplantar la identidad de entidades o personas conocidas con el fin de engañar a sus víctimas y obtener sus datos. Con ellos en su poder, tratarán de acceder en su nombre a distintos servicios.

Los ataques de phishing suelen seguir este esquema: abrimos un correo electrónico o mensaje que parece enviar una persona o entidad de confianza; el mensaje solicita acceder a una web para facilitar información personal; la web parece legítima, por lo que facilitamos todos los datos solicitados, incluidos nombre de usuario, contraseña o número de identificación fiscal. A partir de ahí, los ciberdelincuentes tendrán a su disposición los datos necesarios para intentar suplantarnos, por ejemplo, en nuestras interacciones con el banco. También son habituales en este tipo de ataques los mensajes que nos anuncian que hemos ganado un premio y que debemos proporcionar una serie de información personal para poder acceder a él.

En plena pandemia de covid-19, este tipo de ataques se ha sofisticado y utiliza este tema como gancho para hacerse con datos de usuarios. Desde archivos con supuestos consejos en vídeo para mantenerse a salvo de la enfermedad que ocultan software malicioso hasta cibercriminales que se hacen pasar por la Organización Mundial de la Salud, todo vale para romper la privacidad on-line de los internautas.

Las especiales circunstancias que vivimos en la actualidad exigen que seamos más cuidadosos que nunca con nuestra información personal. Los ataques de suplantación de identidad no solo afectan a la víctima de la estafa, sino también a las personas u organismos por los que se hacen pasar los ciberdelincuentes, que se pueden ver envueltos en un problema de manera totalmente inadvertida.

Existen algunas medidas que podemos tomar para mantener nuestros datos a salvo y evitar que terceros puedan contactar con otros en nuestro nombre o acceder a distintos servicios on-line haciéndose pasar por nosotros.

– Utilizar siempre contraseñas robustas: tanto para acceder al perfil de la red social como a nuestras aplicaciones bancarias, la OSI explica que elegir una buena contraseña es fundamental. También lo es gestionar estas credenciales de manera adecuada, sin compartirlas con nadie, sin utilizar la misma para varios servicios y haciendo uso de gestores para recordarlas cuando las necesitemos.

En este sentido, CaixaBank ha sido el primer banco del mundo en utilizar la identificación biométrica en las aplicaciones propias y el reconocimiento facial en cajeros, que evita tener que introducir el PIN para realizar reintegros. Además, la entidad cuenta con sistemas robustos para proteger los datos de sus clientes frente a los ataques de los hackers.

– Evitar el phishing: lo mejor para no sufrir las consecuencias de un ataque de phishing que termine con el robo de nuestra información es evitarlo. Para ello, conviene fijarse en los mensajes y correos que se reciben y estar alerta ante contactos inesperados o respuestas que no se han solicitado.

También es preciso analizar con detalle los correos, sobre todo los que nos piden introducir credenciales en una web externa con cualquier excusa, y recordar que un banco nunca nos pedirá nuestros datos por correo electrónico, mensaje de texto o teléfono porque ya los tiene.

Conviene examinar la dirección de correo del remitente, no fiarse de peticiones urgentes que impongan plazos para modificar claves de acceso y comprobar que los enlaces incluidos sean legítimos. Con solo pasar el puntero del ratón por encima del texto del enlace, podremos ver la dirección web a la que dirige y comprobar si coincide o no con la que apunta el contenido del mensaje. Que su redacción sea incorrecta también debe alertarnos.

– Aumentar el grado de privacidad de nuestros perfiles: en redes sociales, conviene configurar los perfiles de la manera más privada posible, con el fin de evitar que usuarios desconocidos accedan a nuestra información personal. La OSI también aconseja asegurarse de la identidad de cualquier usuario que nos quiera agregar como amigo para evitar que cualquiera tenga acceso a nuestra información personal, fotos o vídeos.

– Revisar la política de privacidad: la OSI recuerda que, si nos fijamos en las condiciones de servicio de las redes sociales, sabremos el uso que hacen de nuestros datos, su tratamiento y almacenaje y si se comparten con terceros.

Seguir estos consejos nos ayudará a preservar nuestra privacidad en internet. Una precaución que, en estos momentos, es más importante que nunca.

“En tiempos de sobreinformación, la creatividad desaparece”. Así definía el neuropsicólogo Andrey Kurpatov algunos de los efectos de la sobrecarga de información durante el último Foro Económico Mundial de Davos. Lo que no preveía el experto es la capacidad de los ciberdelincuentes para idear nuevas formas de atacar a sus víctimas. Una creatividad que se ha disparado en medio de la pandemia del coronavirus, cuando ciudadanos y empresas demandan más información de la habitual.

En las últimas semanas han comenzado a proliferar ciberataques relacionados con la crisis del coronavirus. Lo cierto es que el escenario es propicio para este tipo de delincuencia: el consumo de internet se ha disparado, con incrementos de tráfico cercanos al 40%, al igual que el teletrabajo.

La elevada demanda de información sobre la pandemia por parte de ciudadanos y profesionales ha abierto nuevas oportunidades para los ciberdelincuentes. Mientras que algunos han prometido no actuar en ciertos casos mientras dure la pandemia, otros han decidido aprovechar la situación para difundir sus ataques. En cualquier caso, nunca se debe bajar la guardia ante la posibilidad de ser uno de sus objetivos. Y menos en una situación tan excepcional como la actual.

Los ataques de secuestro de información, o ransomware, no han tardado en aparecer. Lo que ocurre es que, esta vez, lo hacen adaptados a la situación actual de pandemia. Es decir, aprovechan el tirón informativo que tiene estos días la temática del coronavirus para acceder a nuestros archivos, encriptarlos y solicitar después el pago de un rescate si queremos recuperarlos. Si sumamos todo esto a la sobrecarga de trabajo que sufren los profesionales de determinados sectores, como los de la sanidad, los ciberdelincuentes encuentran la ocasión perfecta para intentar secuestrar información sensible.

Este fue precisamente el caso de un envío de ransomware reportado por la Policía Nacional. Consistía en el envío de correos electrónicos a personal sanitario de distintos hospitales españoles relacionados con la temática del coronavirus. Incluían archivos adjuntos con los que los ciberdelincuentes pretendían corromper la información del centro médico para pedir después un rescate.

Este tipo de ataques de secuestro de información también se han detectado en otros países. Un ejemplo es el del ransomware que utilizaba el dominio coronavirusapp[.]site para cumplir con su objetivo. Contenía un mapa de calor de Estados Unidos en el que se mostraban los focos de mayor contagio para captar la atención del internauta. En concreto, esta página solicitaba la descarga de una app móvil para continuar informado. Al hacerlo, se instalaba un ransomware llamado Covidlock, con su consiguiente mensaje de infección y solicitud de rescate.

La ruptura de la normalidad también deja expuesta a la población ante las ciberestafas. Como en estos momentos buscamos constantemente información relacionada con el coronavirus, los ciudadanos estamos más expuestos a sufrir este tipo de engaños.

De hecho, las cifras de uso de la temática del coronavirus como gancho para extender ciberataques entre la población se han disparado en marzo, coincidiendo con la declaración del coronavirus como pandemia global. Además, se ha detectado un incremento de hasta el 70% de correos con ataques de phishing que hacen uso de esta temática para recopilar información personal de manera fraudulenta. El propio FBI alerta sobre una oleada sin precedentes de este tipo de delitos, en este caso relacionados con la pandemia.

En España, los últimos informes del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC, dependiente del Ministerio del Interior) han alertado sobre una quincena de ciberestafas con el señuelo del coronavirus. Para perpetrarlas, los delincuentes aprovechan el sentimiento de vulnerabilidad que empuja a muchos ciudadanos a buscar información sobre la pandemia.

Hay que tener en cuenta que estas ciberestafas no llegan exclusivamente a través de correos electrónicos. También se utilizan aplicaciones, páginas web e incluso mensajes de texto para comprometer la seguridad de las personas y su privacidad.

Un ejemplo es el uso de mensajes de texto para ofrecer una aplicación que ayuda a conseguir mascarillas sanitarias. Cuando se descarga la aplicación, se instala un virus que reenvía el mensaje a todos los contactos de la agenda del teléfono infectado. Otro ataque detectado utilizaba un mensaje de WhatsApp para suplantar al Ministerio de Sanidad y redirigir a una web de venta de mascarillas.

También proliferan estafas con troyanos, como el conocido Cerberus, que afectan a dispositivos Android. Este ataque tiene como principal cometido el robo de credenciales bancarias o tipos RAT, con el foco puesto en la distribución y el robo de datos sensibles de la víctima.

En un momento en el que nos vemos bombardeados constantemente por la difusión de información por medios electrónicos, el sentido común es más necesario que nunca. Protegernos de ciberestafas en un momento especialmente vulnerable como el que vivimos nos evitará más de un disgusto.

Algunas recomendaciones para mantenerse a salvo de este tipo de ataques son las siguientes:

– Eliminar, sin abrirlos, los correos electrónicos sospechosos o de cuyo origen no tengamos constancia.

–  Evitar las cadenas de mensajes, que se utilizan en muchas ocasiones para recopilar datos de contacto, así como los mensajes que recibamos de conocidos con enlaces o adjuntos y que parezcan fuera de contexto o no encajen en la conversación.

– No hacer clic ni pulsar sobre enlaces dudosos, ya que nos pueden redirigir a páginas web fraudulentas.

– Ante la duda, contrastar siempre con personas de confianza y fuentes oficiales cualquier información que recibamos y nos resulte sospechosa.

– Extremar las precauciones en las compras online, especialmente las de productos relacionados con la pandemia como mascarillas o guantes.

– Mantener actualizados los sistemas de los dispositivos electrónicos, incluidos los antivirus.

– No facilitar nunca claves ni contraseñas solicitadas a través de correo electrónico, mensajes de texto o cualquier otro canal.

– Que una web empiece por https y presente un candado en la barra del navegador no garantiza que sea segura. De hecho, puede tratarse de una web fraudulenta. Conviene fijarse bien en si el enlace se corresponde realmente con el del sitio web al que queremos conectarnos. Siempre será más seguro teclear la dirección web auténtica en la barra de navegación que acceder a ella desde un enlace obtenido de otra fuente.

Mantener a raya los ciberataques no es solo un acto de protección individual. En momentos como los actuales, la responsabilidad ciudadana es especialmente importante, por lo que también se debe evitar al máximo su propagación a otras personas. La calma y el sentido común son, una vez más, las mejores herramientas que tenemos a nuestro alcance para conseguirlo.

El SPIM (acrónimo de Spam over Instant Messaging) es un mensaje no deseado con finalidad comercial, normalmente maliciosa, que se distribuye a través de aplicaciones de mensajería instantánea, SMS o mensajes privados en páginas web. SPAM y SPIM son muy similares, la única diferencia entre los dos es el medio por el que recibimos este mensaje fraudulento.

El envío de SPIM se conoce con el término smishing, que proviene de la unión de SMS y phishing, una práctica que engloba todos los fraudes que se llevan a cabo mediante sistemas de mensajería instantánea.

Con el desarrollo de las nuevas tecnologías y los avances en la comunicación interpersonal, se abren nuevas vías de cibercrimen de las que debemos estar informados. Términos como phishing o vishing están a la orden del día en cuanto a ciberataques. A estos dos últimos se suma el no tan conocido smishing. ¿Qué característica común comparten estos ciberataques? La suplantación de identidad.

Los ciberdelincuentes, mediante programas informáticos automatizados, rastrean la agenda de direcciones del usuario de las aplicaciones de mensajería instantánea. Una vez ha conseguido la lista de contactos, el ciberdelincuente envía un mensaje al usuario que, dependiendo de la aplicación utilizada, aparecerá en forma de ventana emergente o de texto en una conversación. Estos mensajes suelen incluir un enlace a una página web o documento, generalmente de carácter fraudulento.

El objetivo es conseguir que el usuario haga clic en el enlace adjunto en el mensaje enviado, dando lugar a la descarga de malware que le permitirá acceder a la cuenta y al dispositivo del usuario.

A diferencia del SPAM, que podemos identificar antes de abrirlo y eliminarlo sin riesgos, el envío de SPIM puede hacernos caer en la trampa al aparecer durante la conversación con algún familiar o amigo, y conseguir que hagamos clic sobre el enlace por error al pensar que procede de la persona con la que conversamos.

Aunque todos corremos el riesgo de recibir un mensaje fraudulento, existen una serie de recomendaciones a seguir para detectar si estamos ante un ciberataque de smishing:

– Si recibimos un mensaje de un contacto conocido que está fuera de contexto o que no encaja en la conversación mantenida, preguntarle antes de hacer clic.

– No hacer clic en enlaces o elementos adjuntos si no estamos seguros de la identidad del remitente.

– Comprobar la procedencia de cualquier enlace recibido antes de hacer clic sobre él.

– Configurar adecuadamente las opciones de privacidad de las aplicaciones de mensajería instantánea que utilizamos para evitar que nos lleguen mensajes de remitentes desconocidos.

– Mantener actualizadas tanto las aplicaciones de mensajería como nuestros dispositivos.

Sin duda alguna, la información y la concienciación son el primer paso para combatir el fraude electrónico, que afecta tanto a particulares como a empresas. Nuestro consejo ante estas amenazas: doble check antes de hacer clic en un enlace sospechoso y, si no lo ves claro, confirma el mensaje por otra vía de contacto.

«Le haré una oferta que no podrá rechazar». Tal vez los métodos han cambiado desde la época de los mafiosos de El Padrino, pero el objetivo sigue siendo el mismo: hacerse con tu dinero de forma ilícita. El último grito, y nunca mejor dicho, del cibercrimen es el vishing, combinación de los términos «voz» (en inglés voice) y phishing, esto es, la práctica de suplantar la identidad de nuestro banco y robarnos usando nuestros datos.

La diferencia con este último es el medio utilizado por el vishing para sus objetivos delictivos: la voz, tanto a través de sistemas telefónicos tradicionales como, lo más común, mediante voz sobre IP.

Suena el teléfono. El número que aparece en el identificador es uno de tu misma zona geográfica, o tal vez incluso algún número conocido. Descuelgas. Al otro lado de la línea suena una voz robótica que asegura que tu cuenta bancaria ha sido atacada, y que para protegerla, tienes que llamar al número que te facilitan. Y hay que hacerlo rápido, porque si no lo haces, te arriesgas, dice la voz robótica, a perder todo tu dinero. En cambio, si les proporcionas tu número de cuenta o de tarjeta de crédito, aseguran, te pueden ayudar a impedir transacciones fraudulentas con tu cuenta.

Esta es solo una de las posibles estrategias que puede utilizar el vishing para hacerse con tu dinero. Otras posibilidades son reclamar impuestos supuestamente impagados, decir que has ganado un premio o un concurso, ofrecer asistencia técnica para poder acceder a tu ordenador, simular llamar en nombre de algún organismo estatal o de alguna asociación benéfica… El único límite es la imaginación de los ciberdelincuentes.

¿Qué podemos hacer entonces? Algunas acciones que, si bien no eliminan completamente el riesgo de ser víctima del vishing, sí que lo reducen a su mínima expresión, son:

• No contestar llamadas de números desconocidos: si el que llama es un timador, responder supone abrirle las puertas, confirmarle que el número está activo, y dejarle la vía libre para que vuelva a llamar. Si en cambio dejamos que salte el contestador, será más fácil averiguar si la llamada es fraudulenta o no.
• Si contestas, nunca des información personal: los bancos y organismos oficiales nunca te la pedirán, porque ya la tienen. Si te piden tus datos privados por teléfono, empieza a sospechar.
• Utiliza una aplicación de identificación de llamada: las innumerables opciones de voz sobre IP permiten crear muy fácilmente números falsos. Una buena opción sería descargarse una aplicación específica de identificación de llamada, como por ejemplo Truecaller, que bloquea los números que ya se han confirmado peligrosos, y permite también añadir números nuevos a su base de datos. No obstante, aunque la tengamos instalada, tampoco tenemos que fiarnos al 100% de ella: si nos llama un número desconocido, lo más prudente siempre será no responder.

Y si somos víctimas del smishing, esto es, recibimos SMS sospechosos, lo que hay que hacer es fácil: obrar exactamente igual que con el vishing.

Por último, si a pesar de todo somos víctimas de alguno de estos cibercrímenes, antes que recurrir a padrinos, siempre tenemos la posibilidad de denunciarlo en internet.

La banca electrónica, también conocida como banca online, e-banking o banca virtual, consiste en la posibilidad de consultar y hacer operaciones bancarias a través de Internet. Cuenta con grandes y conocidas ventajas: se puede acceder al banco 24 horas al día, 7 días a la semana y supone un gran ahorro de tiempo y dinero, tanto para los clientes como para los bancos. A priori, también puede presentar algunas dudas, como la posible sensación de inseguridad, que podría llevar a una cierta desconfianza hacia la banca online.

Para evitar esas sensaciones, el tercer capítulo de “Finanzas para followers”, el programa de Caixabank para impulsar la educación financiera, aborda precisamente el tema de la ciberseguridad. Tras los dos primeros vídeos de la serie, que se centraban en los conceptos de presupuesto familiar e inversión, los presentadores Javier Muñiz y Rosa del Blanco cuentan ahora con la participación de la cantante Marina Jade para darnos algunos consejos para operar por Internet de forma segura.

Con la ayuda de unos patitos de goma, los presentadores nos explican de forma muy gráfica qué es el phishing, una técnica fraudulenta que consiste en “suplantar la identidad de nuestro banco y robarnos usando nuestros datos”, explica Rosa del Blanco.

La palabra es un neologismo que en inglés suena igual que fishing (salir a pescar), nos cuenta Javier Muñiz, porque la práctica más habitual es imitar la web del banco, enviarnos un correo electrónico en su nombre pidiendo nuestros datos y, sencillamente, esperar a que alguien muerda el anzuelo. Ante ello, hay que prevenir y aplicar ciertas normas para protegernos. Finanzas para followers nos ofrece cuatro grandes consejos:

1. No des tus datos a desconocidos. Si no lo hacemos por la calle, en el mundo real, tampoco tenemos por qué ir entregando nuestros datos en el mundo virtual.
2. Mantén actualizada tu app bancaria. Cuanto más actual sea la versión de la aplicación que usas en tu teléfono móvil, más segura será. Y si te conectas a tu banco desde el ordenador, utiliza siempre un antivirus.
3. Usa claves complejas y no habituales. Siempre es mejor usar contraseñas que combinen mayúsculas y minúsculas, letras y números, y caracteres especiales. Nunca utilices claves fáciles de adivinar, como tu cumpleaños, tu número de DNI o 123456.
4. Tu banco nunca te pedirá tus datos. Así que si recibes una llamada o un correo electrónico que te solicite tus datos, no los des, no contestes y no hagas clic en ningún enlace.

En efecto, cuando nos conectemos desde nuestro ordenador, siempre será mejor escribir nosotros mismos la dirección de nuestro banco en el navegador, sin clicar en enlaces. Y también deberemos fijarnos en que la dirección sea una URL segura, que empiece por “https”, como por ejemplo https://www.caixabank.es/index_es.html. Finalmente, cuando acabemos de realizar nuestras operaciones, es preciso cerrar siempre la sesión. Si seguimos estos consejos, operar con la banca online será igual de seguro que acudir al banco en persona.

“Finanzas para followers” regresará muy pronto con una nueva entrega, y recuerda seguir el hashtag #FinanzasXaFollowers, y el perfil de CaixaBank en Twitter, @caixabank, para estar informado.