Por: Krissia Chacón.   Hace 6 días
Computer hacker silhouette of hooded man with binary data and network security terms
Computer hacker silhouette of hooded man with binary data and network security terms

En época navideña y de aceleración de consumo, los fraudes electrónicos suelen elevarse.

El envío de correos maliciosos, la creación de sitios falsos y promociones engañosas, son parte de las técnicas que usan los ciberdelincuentes para aprovecharse de quienes navegan en Internet.

Para que tenga una idea del impacto que generan las compras en línea, solo para las fechas del 22 al 26 de noviembre días de promociones por el Black Friday y Cyber Monday, los consumidores realizaron compras por $24.200 millones.

El 42% de estas compras fueron realizadas desde dispositivos móviles.

La cifra, de acuerdo con Adobe Digital Insights (ADI), que realiza este tipo de monitoreos, indica que hubo un incremento del 23% con respecto al 2017.

Por esta razón es que debe de cuidar los sitios a los que accede y tomar las precauciones necesarias.

El Laboratorio de Investigación de ESET, identificó las ocho señales que indican que un usuario es propenso a caer en las trampas de los cibercriminales:

1. No saber cómo es la URL del sitio que se busca.

Es importante saber que los cibercriminales utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de los buscadores sitios que suplantan la identidad de los legítimos.

Es importante que por más confianza que se tenga en los resultados de buscadores como Google, Bing, Yahoo u otro, es posible que un sitio falso esté bien posicionado (al menos durante un tiempo) en busca de víctimas distraídas.

Para ingresar a páginas de bancos por ejemplo, se recomienda escribir directamente en la barra de direcciones el enlace directo de la entidad.

2. Dejarse llevar por el mensaje en el asunto de un correo.

Para que la víctima no piense demasiado y caiga en el engaño, los cibercriminales aprovechan este campo del correo para intentar manipular las emociones y generar sentimientos que pueden ir desde la euforia hasta la desesperación.

Como correos que hablan de premios, una oportunidad única que no se puede dejar pasar o hasta una herencia.

A su vez, existen campañas que buscan generar paranoia con correos que llegan con las contraseñas o números de teléfono personales en el asunto o que afirman que nuestra cuenta ha sido pirateada. En estos casos, no se debe responder.

3. No revisar la dirección de correo de los remitentes.

Que un mensaje incluya un nombre real no asegura que sea genuino, ya que existen varias maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, analizar la dirección del remitente puede ayudar a interpretar si se está ante una situación sospechosa o no.

Por ejemplo, un correo donde el remitente dice ser de un banco del cual no se es cliente, debería encender las alarmas. También un correo donde el remitente se presente como representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail.

Para aparentar que el correo es de una empresa real los cibercriminales envían correos cuyo dominio incluye el nombre de una empresa legítima pero escrita por otros caracteres, por ejemplo, el dominio utilizado en una campaña de phishing que se hacía pasar por Apple era “@servicedstoredapps.live”.

4. No revisar las URL de destino.

Es importante revisar a dónde direcciona el enlace al que se accede, ya que muchas campañas de ingeniería social esconden falsos URL que aparentan ser legítimas.

Para descubrir esto muchas veces es suficiente pasar el cursor sobre el hipervínculo y verificar si la cuenta coincide con el nombre del supuesto sitio. Para corroborarlo desde un teléfono se debe mantener el texto “seleccionado” para que muestre la URL sin dirigirnos.

Algo similar ocurre con las herramientas para acortar enlaces. Al usarlas, no se puede ver el nombre de la URL final. En caso de sospechar de un engaño, existen herramientas para descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.

5. Compartir información personal a través de las redes sociales.

Muchos usuarios no son conscientes de los riesgos de la sobreexposición en las redes sociales y comparten datos personales como el número de documento, fecha de nacimiento, número de teléfono, dirección domiciliaria, entre otros.

Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, es importante configurar bien la privacidad de cada una de las plataformas utilizadas para filtrar quien puede ver la actividad.

De lo contrario, se está expuesto a que un cibercriminal pueda construir un perfil bastante preciso sobre un blanco de ataque simplemente recopilando información de sus perfiles y las actividades.

6. Dar como seguro un sitio web solo porque tiene HTTPS.

Ya no basta con que un sitio tenga HTTPS y un candado para determinar que se trata de un sitio seguro. Si bien en un primer momento las páginas fraudulentas utilizaban protocolo HTTP, en la actualidad los atacantes pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.

7. Confiar demasiado en un servicios o plataformas de uso masivo.

No se trata de desconfiar de todo, sino de estar informado de cuáles son los vectores de ataque utilizados por los cibercriminales.

En las redes sociales, los cibercriminales crean cuentas falsas intentando suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones buscando que los usuarios ingresen a un enlace para luego robar sus datos.

8. No dudar en abrir un archivo adjunto que viene en un correo no solicitado.

Los usuarios deben saber que un banco o una entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte.

El hecho de que llegue un archivo adjunto que no se solicitó debería ser motivo de sospecha inmediata.

Las entidades financieras nunca solicitan por correo el envío de credenciales de acceso al sistema de banca online o los datos de tarjetas de crédito. Por lo tanto, en caso de recibir una petición de este tipo se debería desconfiar y contactarse con la entidad por otro canal para verificar la legitimidad del correo.