Conocer los riesgos y prevenirlos es fundamental para que los usuarios puedan evitar engaños al hacer transacciones por Internet. | Foto: Getty

SEGURIDAD FINANCIERA

90% de los colombianos preocupados por fraude con tarjetas

Así se puede evitar ser víctima de ransomware, hoax, phishing, smishing y otros mecanismos de engaño en Internet. Conocer cómo funciona el fraude digital es un primer paso para lograr buenas experiencias mientras se navega en la web o se hacen transacciones online.

2 de diciembre de 2019

Al 90% de los colombianos les preocupa seriamente el fraude con tarjetas bancarias y el 85% ha sido (o conoce a alguien) víctima de al menos un tipo de amenaza o evento cibernético. Estas cifras fueron reveladas recientemente por el Índice de Seguridad de Unisys 2019, el cual mide en trece países, entre ellos Colombia, el grado de preocupación de los ciudadanos por ocho tipos de amenazas de seguridad, incluyendo temas financieros y uso de Internet.

En la Encuesta Global Crimen Económico 2018 realizada por PwC, el cibercrimen en Colombia ocupa el tercer lugar, dentro del top 5 de fraudes. En 2017, también hay datos que preocupan al respecto: el sexto país de Latinoamérica con más ataques cibernéticos detectados fue Colombia, según el informe Symantec (ISTR) que analiza 157 países.

Teniendo en cuenta estas cifras, lo mejor para evitar ser presa del pánico al navegar por Internet, y hacer transacciones con bancos o establecimientos comerciales, es que los usuarios puedan conocer cuáles son las tácticas que más utilizan los ciberdelincuentes para engañar.

Phishing, uno de los riesgos más comunes

Para el Instituto de Ciberseguridad de España (Incibe) el phishing “posiblemente se trate de uno de los fraudes más conocidos y extendidos. Se trata de un engaño basado en la suplantación de un usuario, una empresa o entidad fiable como un banco o una tienda online. La finalidad es hacerse con claves de acceso o información sensible”.

Para el 2017 las pérdidas por phishing, se calcularon en US $9.100 millones al año, según cifras presentadas por el Centro Cibernético Policial, con base en datos de la compañía de seguridad RSA.

También es víctima de phishing, la persona suplantada en redes sociales. Un reconocido caso fue el sufrido por James Rodríguez en 2016, víctima de un ciberdelincuente quien a través de sus redes solicitó información personal a diversos usuarios.

Al creer que recibían mensajes a nombre del futbolista, cientos de personas cayeron en la trampa, dando claves de correos electrónicos, entre otra información solicitada. Cuatro años de prisión fue la condena para este crimen cometido por un joven de 23 años. 

Mark Zuckerberg, con el robo de contraseñas de LinkedIn del 2012, también fue víctima pues de esta manera lograron encontrar claves y acceder a su cuenta de Twitter.

De ahí que expertos en seguridad recomiendan tener una clave distinta para cada plataforma que se utilice. En este caso se conoció que el ataque a Zuckerberg fue realizado por los piratas informáticos autodenominados OurMine.

Pharming, una estafa basada en el redireccionamiento

Esta modalidad se diferencia del phishing porque los delincuentes no buscan robar la identidad ni suplantan personas o empresas. El objetivo es lograr que quienes visitan una página web, vayan a otra de forma voluntaria, direccionándolos con hipervínculos a páginas fraudulentas, a las que han dado clic.

Un caso de pharming sufrieron los usuarios de MySpace en 2006, quienes al entrar a su propio perfil y compartir de forma común con amigos en la plataforma, dieron clic en hiperlinks fraudulentos que los sacaban hacia sitios que robaron su información.

En estos casos no son las organizaciones las que realizan el fraude, sino códigos, virus o criptogusanos externos que interceptan las comunicaciones que tienen los usuarios con sus páginas de confianza. 

Es decir, con el pharming se manipula el tráfico de páginas web legítimas, que por lo general, cuentan con un alto prestigio, basando entonces todo el proceso delictivo en redirigir a los usuarios hacia otras páginas. 

Según el estudio Violencia en Internet: nuevas víctimas, nuevos retos publicado por la plataforma académica Scielo:

“Una de las evolucionadas formas del fraude bancario es el denominado pharming, el cual, según los expertos, resulta sumamente difícil de detectar o identificar, ya que consiste en modificar la dirección o dominio web al que se asocia un usuario común; mientras el ordenador intenta ingresar, la señal es interceptada por el ladrón (López)”.

Algunas recomendaciones para prevenir casos de pharming son dadas por diversos antivirus, porque como afirman desde Avast antivirus si los hackers hacen bien su trabajo, es prácticamente imposible distinguir el sitio web falso en el que se roban los datos.

Para reducir riesgos “primero compruebe siempre la URL del sitio para asegurarse de que esté bien escrita. Segundo asegúrese de que la URL haya cambiado a "https". La "s" es de "seguro", lo que significa que el sitio web es legítimo”, afirma Avast antivirus.

En este sentido, un aspecto a tener en cuenta es que todo este tipo de modalidades las usan los delincuentes de forma combinada, tal es el caso del GozNym, un ´troyano´ bancario detectado en mayo de 2019 por la Europol y la Fiscalía General de Estados Unidos, cuyos datos dan cuenta que 41.000 es el número de víctimas en este caso.

Hoax, un anzuelo para los adictos a las notificaciones

Este tipo de fraude digital tiene que ver con las falsas notificaciones y tienen la característica de ser cadenas enviadas de forma masiva para confundir a los usuarios. 

Hoax es una práctica delincuencial que también es conocida en el mundo como bulos, distinguiéndose de otras estafas, principalmente porque se difunden masivamente mensajes con alertas falsas. 

Smishing, urls en los mensajes de texto (SMS)

Los usuarios deben ser precavidos incluso de los mensajes que llegan directamente al celular, así no se esté conectado a Internet. A través de los SMS de texto, los delincuentes también envían anzuelos para incitar a dar clic.

Esta modalidad de fraude a través de mensajes SMS enviados al celular se conoce como smishing, por eso lo mejor es que las personas eviten ingresar a urls que puedan generar desconfianza y sean recibidas de esta manera. Ante el interés en alguna oferta, descuento o alianza se puede buscar directamente la página web oficial de la empresa que es mencionada en el mensaje y hacer la compra.

Ransomware

Existe el secuestro en la web; es lo que en los diccionarios de cibercrimen se conoce como ransomware. En Colombia, un caso popular fue el ocurrido en la zona Caribe, en el 2016, cuando ciudadanos víctimas de ransomware recibieron mensajes extorsivos pidiendo dinero para que la información de sus celulares fuera desbloqueada.

Otros casos famosos de víctimas de ransomware fueron los ciberataques mundiales del 2017 y el 2018, que afectaron cerca de cien organizaciones en el mundo, especialmente reconocidas empresas de medios y publicidad. Casos en los que se utilizó el ransomware conocido como Wannacry, popularizado desde entonces. 

También en 2017 la comunidad de Twitter @malwrHunterTeam evidencia una amenaza que pedía a los usuarios subir fotos de desnudos a cambio de liberar sus datos. Descubrir la existencia del virus llamado nRansomware, significó un nuevo giro en esta modalidad de estafa, al pasar de un engaño centrado en buscar dinero o datos, a la extorsión de la intimidad.

En cuanto a cifras de este fenómeno, Colombia ocupa el primer lugar en Latinoamérica con un 30%, seguido de Perú (16%) y México (14%) según el informe de ESET 2018 sobre ransomware.  

Keyloggers

Son programas que registran todo lo que se teclea o se ve en una pantalla mientras una persona navega. De esta manera lo registrado es enviado a un servidor externo.

El uso de keyloggers es un tipo de modalidad que puede captar datos de ingreso, por ejemplo, en centros de afluencia como cafés o parques y a través de conexiones de uso público tipo WIFI. 

Vishing

Incluso a través de una llamada telefónica, en la que se pueda registrar la voz de alguien, se pueden hacer fraudes hoy en día. Vishing es la modalidad que se vale de registros VoIP para intentar sacar datos personales o extraer dinero. 

Vishing es un término que resulta de combinar “Voice” y “Phishing”. Es decir, en este caso, se hacen pasar como una persona o empresa de confianza para engañar. O pueden usar también robots de llamada automática.

Para evitar amenazas en este sentido, jamás hay que dar información como número de cédula o números de accesos de tarjetas del banco, cuando sean solicitados por terceros a través de llamadas. Ni siquiera si se hacen identificar como personal de un banco o alguien cercano a la familia. 

En conclusión, el cibercrimen no da tregua en el mundo, por eso Colombia no es ajena a esta problemática. Sin embargo, con conocimiento sobre el tema y tomando precauciones los ciudadanos pueden evitar las nuevas tácticas que emplean los delincuentes.