- 11 de febrero de 2022
Qué son y cómo evitar las ciberestafas
La red es el nuevo medio a través del que se comete el delito que ya existía en el mundo físico
Todos hemos oído hablar de los delitos que se comenten a través de Internet y las nuevas tecnologías (mejor denominados ciberdelitos) y, por supuesto, de las ciberestafas, pero ¿realmente sabemos lo mínimo necesario para defendernos de este tipo de ataques?
En este caso, más que en otros muchos, la información es poder. Saber realmente lo que está pasando en la red y en las TIC, es fundamental para que no se nos quede la mirada un tanto perdida y las cuentas bancarias a cero (o cosas peores…).
Por eso, hoy voy a darte algunas pautas que te servirán para conocer más y mejor las posibles actividades de los profesionales de las ciberestafas.
- ¿Qué es esto de las ciberestafas?
Existen distintas modalidades de cibercrímenes, entre los que encuentran los ciberataques réplica. Uno de estos ciberataques son las ciberestafas, que vienen a ser conductas delictivas paralelas a las del mundo físico pero adaptadas al mundo virtual, es decir, son réplicas de otras conductas delictivas anteriormente existentes en el mundo físico.
Por tanto, en estos ciberataques réplica la red es el nuevo medio a través del que se comete el delito que ya existía en el mundo físico y su objetivo es dañar a un interés protegido distinto a un sistema informático.
Dentro de los ciberataques réplica se encuentran las ciberestafas, que son aquellos ataques de carácter económico que se producen en el mundo virtual haciendo uso de elementos técnicos o, incluso, de la ingeniería social (el engaño), para llevarlas a cabo. En los modelos de estafa que te explico más adelante podrás verlo con más detalle y entenderme mucho mejor.
Si te metes en Internet y empiezas a investigar un poco sobre las ciberestafas te darás cuenta que hay mucho contenido pero, curiosamente, los distintos artículos que hablan sobre esto coinciden poco en los distintos modelos que se suelen cometer por parte del ciberdelincuente.
Esto se debe a que las ciberestafas evolucionan muy rápidamente. De hecho, quizás cuando estés leyendo este artículo existan otras mucho más novedosas…
No obstante, probablemente, algunas estafas en el mundo virtual, nunca pasarán de moda. Quizás sean algunas de las a continuación te detallo.
- ¿Cómo pueden “ciberestafarme”?
Todos creemos que esto no nos va a pasar a nosotros ¿Verdad? Te confieso que yo también lo pensaba, hasta el día que me vaciaron una de mis cuentas.
El ciberdelincuente aprovechó mis datos económicos para hacer algunas compras de tecnología en tiendas de informática, en este caso españolas, por un valor de unos 850 euros.
En mi caso tuve suerte puesto que mi entidad bancaria respondió y me devolvió el dinero que me habían estafado, pero esto es una práctica cada vez menos habitual por parte de las entidades financieras al haberse incrementado de forma exponencial el número de personas estafadas a través de la red, principalmente a raíz de la crisis generada por el coronavirus y el incremento del uso de las nuevas tecnologías.
Como antes te comentaba, existen dos métodos posibles para poder llevar a cabo las ciberestafas: la ingeniería social y el uso de medios técnicos.
En primer lugar, haciendo uso de lo que se denomina la ingeniería social, que no es más que el utilizar el engaño para que la víctima realice una serie de acciones encaminadas a poner en disposición del ciberdelincuente cualquier activo patrimonial.
Igualmente, el ciberdelincuente puede hacer uso de otra herramienta para poder llevar a cabo su propósito, consistente en el uso de distintos medios técnicos que reducirán al máximo el margen de actuación por la víctima para poder evitarlo.
Los vamos a ver con detalle en los distintos modelos de estafas virtuales que te detallo a continuación.
Existen multitud de formas en las que pueden ciberestafarnos que dan lugar a distintos fraudes a través de Internet, como el fraude de tarjetas de crédito, fraude de cheques, estafas piramidales, de lotería, de inversión, estafas en ventas a través de Internet en la que no se envía el producto, o en la que se envía con otras características en portales de subastas como Ebay (Auction Fraud), ataques de Scam…
Quizás las más destacadas sean el Scam (o “ciberfraudes burdos”) y el Pishing. Paso a detallarte en qué consiste cada una, junto con otras.
- Aunque el nombre no te suene, seguro que lo conoces… Scam (o “ciberfraudes burdos”).
Éstas son las estafas de toda la vida, pero ahora cometidas a través de Internet.
Las mismas consisten en el envío de correos electrónicos o de mensajes a través de las redes sociales en las que se promete grandes cantidades de dinero, por ejemplo, a cambio de pequeñas transferencias relacionadas con una oferta de trabajo, o con un premio que curiosamente nos ha tocado,… en los que la víctima finalmente acaba realizando un acto de disposición a favor del defraudador.
Existen muchos ejemplos, como el timo de las cartas nigerianas, o el de la estampita, o el de la lotería, o el del trabajo desde casa (los de toda la vida, pero ahora también por Internet y haciendo uso de las nuevas tecnologías).
Si te fijas, en este tipo de ciberestafas, el comportamiento humano (y no la tecnología) es el elemento clave que se utiliza para llevar a cabo el engaño.
- La ciberestafa estrella… El Phishing
Te digo que es la ciberestafa estrella porque se trata, probablemente, de la modalidad de estafa más frecuente y más perfeccionada en los últimos tiempos.
Esta modalidad consiste en la obtención de la información necesaria para el acceso a los sistemas de banca electrónica de la víctima, para hacerse posteriormente pasar por ella y producirle una transferencia de sus activos en beneficio del delincuente o de cualquier otra persona.
En este tipo de fraudes la capacidad del delincuente para innovar juega un papel importante ya que las entidades financieras invierten grandes cantidades en seguridad para que sus clientes se sientan seguros cuando acceden al banco a través de su ordenador o teléfono móvil. Avanza la tecnología para ofrecer mayor seguridad en las transacciones y, paralelamente, avanza la creatividad y el Know-how del ciberdelincuente para burlarlos.
Para conseguir su objetivo, el delincuente hace uso, tanto de medios técnicos, como de lo que antes te comentaba que se denomina la ingeniería social o engaño.
Imagina el engaño que se provoca al usuario que cree estar accediendo a la página web de su banco, aparentemente idéntica, y donde deja sus datos de acceso a la banca.
Imagina igualmente que el usuario recibe un correo electrónico, supuestamente de su entidad financiera o banco, que a su vez le redirige a un enlace donde tiene que dejar su usuario y contraseña necesarios para el acceso a su entidad bancaria.
Esto es lo que se conoce como Spoofing y necesita, como te decía, del engaño a la víctima para poder llevarse a cabo.
Existen otras formas de estafa, dentro del Pishing, que no hacen uso del engaño, sino que utilizan determinados elementos técnicos para producir la transmisión de los activos patrimoniales.
Este es el caso del Pharming, que consiste en redireccionar una dirección web real a una falsa o en vigilar y obtener los datos que se introducen en la verdadera.
En este sentido, el Keylogger que no es más que un programa que detecta las pulsaciones que se han realizado en un teclado para, de este modo, conocer tus datos de acceso a tu entidad bancaria.
Del Phishing tradicional en los últimos años se ha evolucionado a múltiples variantes que evolucionan, y siguen haciéndolo, conforme se desarrolla la tecnología y la seguridad para prevenirlas.
Algunos ejemplos son el Business services Phishing (en los que el objetivo buscado son los empleados de entidades que utilizan servicios de Internet), el Vishing (mensajes a través de llamadas telefónicas dirigidos a la obtención de los datos de acceso a información confidencial), el que se basa en un malware (o software malicioso instalado en el ordenador de la víctima, por ejemplo, descargado de un correo fraudulento o de una página de pornografía) o el Keylogger que antes te mencionaba o el Screenlogger (para controlar los datos que se introducen a través de un teclado o un ratón), la alteración de los archivos de DNS (que consiguen que la víctima, accediendo a la web del banco, redireccione a una web falsa muy parecida en la que introduce sus datos de acceso).
Estos son solo algunos de los ataques, aunque existe otras muchas variantes.
Debes saber que en el mundo del Phishing existe un auténtico y verdadero mercado negro (llamado Black Market) en el que los distintos estafadores intercambian la información obtenida a cambio de un precio, o la compran para llevar a cabo la disposición de los activos patrimoniales.
- Suena raro, pero también lo conoces… Auction Fraud
Te digo que también lo conoces porque están muy relacionados con los distintos engaños que se realizan, principalmente, a través de portales de subastas a través de Internet muy conocidos y que aún siguen siendo relevantes en el mercado online. Un buen ejemplo de estas páginas web es eBay.
Existen numerosos tipos de engaño de este tipo, como puede ser el que se realiza en una puja en la que distintas personas, que forman parte del engranaje del engaño, pujan por un determinado artículo haciendo que el precio se eleve y finalmente seas tú quien lo compre a un precio notablemente superior al de las pujas reales.
Otra modalidad de engaño de este tipo es aquella que se produce con la compra de un artículo y la entrega de uno de características similares, pero de un coste notablemente inferior.
También podrían tener encaje en este tipo, entre otros muchos, las subastas de artículos que finalmente se adjudican a la víctima y que nunca llegan a ser entregadas.
- La cibersuplantación de identidad o Spoofing
Aunque ya te he hablado antes del Spoofing, lo incluyo nuevamente en este nuevo apartado, para dejarte claro que el robo de identidad, o la cibersuplantación de identidad (también llamada Identity Theft) es clave en los últimos tiempos para producir engaños que provoquen perjuicios económicos e, incluso, de otra naturaleza.
Este consiste en adquirir datos de un sujeto para hacerse pasar por el mismo a través de la red aprovechando esos datos como por ejemplo el robo de su DNI para cometer fraudes.
En este caso también se puede hacer uso de la ingeniería social (el engaño) y de la ingeniería informática para poder llevarlo a cabo y existen numerosas modalidades entre las que destacan la clásica que antes te he comentado (llamada Web spoofing, en la que, a través de un enlace u otros engaños, se remite a una web falsa similar a la de, por ejemplo, la entidad bancaria), la IP Spoofing (por la que, mediante un software, se sustituye la IP original por otra) u otras muchas como la ARP Spoofing o la DNS Spoofing, entre otras.
Recuerda que la obtención de tus datos es un paso previo para llevar a cabo la estafa de tus bienes.
- ¿Qué hacer frente a una ciberestafa?
Seguro que tú también lo has pensado pero el primer consejo que te puedo dar es que denuncies ante las autoridades policiales o judiciales.
Por muchos autores se pone de manifiesto la desconfianza de los ciudadanos frente a las autoridades para poder llevar a cabo la defensa de sus intereses y la incidencia que esto tiene en el bajo número de denuncias.
Esto pasa entre otros motivos por el hecho de que en multitud de ocasiones el ciberestafador no se encuentra en España y, en la mayoría de ocasiones, tampoco en alguno de los países donde la justicia española puede tener un determinado acceso a través de los convenios internacionales de cooperación en materia judicial penal.
¿Qué hacer entonces? Lo primero que te diré es que existen diversas instituciones (algunos de ellos organismos públicos) encargados de la seguridad en Internet que pueden sernos útiles e, incluso, darnos mucha información sobre nuestro caso en particular.
Entre estos destaca la Oficina de Seguridad del Internauta (también llamado “OSI”) perteneciente al Instituto Nacional de Ciberseguridad (también llamado “INCIBE”).
Según se indica en su portal web la OSI de INCIBE proporciona la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet y tiene como objetivo reforzar la confianza en el ámbito digital, realizando tareas concretas como ayudar a los usuarios con los problemas que tengan en el ámbito de la ciberseguridad.
Si quieres dirigirte a la OSI, puedes hacerlo a través de distintos canales, entre los que destacan un centro de atención telefónica (llamando al número de teléfono 017). También informan de un buzón de correo específico para incidencias de ciberseguridad relacionadas con el fraude por Internet directamente gestionado por el INCIBE (incidencias@incibe-cert.es).
Asimismo, la OSI también facilita una serie de consejos que, por ser muy interesantes para resolver estas situaciones de fraude por Internet, te los detallo a continuación:
- Contactar con la empresa que ofrece el servicio. Un ejemplo claro de ello son las redes sociales que, normalmente, disponen de un canal propio para denunciar determinados perfiles. También el suministrador de servicios de correo electrónico ya que normalmente estas empresas cuentan con determinados mecanismos de recuperación de la información de cuentas que han sido previamente hackeadas. Igualmente, los foros donde se realizan manifestaciones ofensivas dignas de ser consideradas relevantes desde un punto de vista penal, para que los mismos puedan ser eliminados.
- Acudir a la Oficina Municipal de Información al Consumidor de tu localidad. Para determinadas situaciones en las que hay empresas implicadas en el asunto que nos han suministrado algún bien o servicio, puedes acudir a la OMIC de tu localidad donde deberán facilitarte información sobre el modo en que reclamar e, incluso, formalizar los trámites para un procedimiento de conciliación con dicha empresa.
Como abogado especializado en ciberdelincuencia no puedo pasar la oportunidad de aconsejarte que, igualmente, acudas a un abogado especializado en esta área y le comentes tu asunto. Seguro que te dará otros consejos que también serán de tu interés para resolver la situación.
Ver enlace web https://www.incibe.es/que-es-incibe
Ver enlace web https://www.osi.es/es/quienes-somos
FUENTE: ECONOMIST & JURIST