La estafa que se esconde en el teléfono inteligente

«Toglietemi tutto ma non il mio smartphone» (quítame todo, menos mi «smartphone») Parafraseando a este famoso anuncio podríamos asegurar, sin miedo a equivocarnos, que esto es lo que piensa la mayor parte de la gente. Así es si tenemos en cuenta que el móvil se ha convertido en una herramienta necesaria para llevar a cabo una gran cantidad de actividades diarias y que, al mismo tiempo, es una valiosa base de datos de información personal.

Esto es así hasta el punto en que, para casi todos nosotros, perderlo sería una de nuestras peores pesadillas. En Italia, el 94 % de la población adulta tiene un teléfono inteligente, según el estudio Digital Consumer Trends Survey 2022 de Deloitte. Este dato no ha pasado desapercibido para quienes hacen de la ciberdelincuencia su profesión. De hecho, parece que el teléfono inteligente se ha convertido en uno de los principales vectores de las estafas y que, además de las técnicas tradicionales de «phishing», «smishing» y «vishing», en los últimos tiempos se ha añadido la perpetrada por medio de códigos QR, que se llama «qrishing».

Esto es lo que se desprende del informe de APWG, que mostraba que en el segundo trimestre de 2022 los fraudes cometidos mediante teléfonos inteligentes habían aumentado en un 70 % con respecto al primer trimestre del año y que tienen como objetivo sobre todo el sector financiero.

Por consiguiente, las estrellas indiscutibles para este tipo de dispositivos son las estafas bancarias que se llevan a cabo con correos electrónicos fraudulentos («phishing»), mensajes cortos engañosos («smishing»), llamadas telefónicas de falsos operadores bancarios («vishing») y, por si fuera poco, con el fraude llamado «qrishing».

Qrishing: fáciles de encuadrar, fáciles de usar

Este último dirige a las víctimas a sitios maliciosos para robarles su información de acceso, así como la financiera. Son básicamente ataques de «phishing» que usan códigos QR y que, como en el caso de los ataques por correo electrónico, se aprovechan de la curiosidad de la desdichada víctima para inducirla a escanear inconscientemente códigos dañinos.

Los piratas informáticos usan códigos QR legítimos de las empresas para redirigir a las potenciales víctimas a sitios web dañinos que están diseñados para robarles información personal y financiera, instalar programas de «malware» en dispositivos o desviar pagos hacia cuentas controladas por los «hackers».

Debido a la gran y repentina difusión de esta clase de fraudes, el FBI incluyó el ataque «qrishing» en el Internet Crime Complaint Center (IC3) de febrero.

Phishing: el más usado para los fraudes relacionados con los pagos electrónicos.

Sin embargo, la amenaza más insidiosa y, de largo, el arma preferida de los piratas informáticos, sigue siendo el «phishing».

Así lo ha confirmado recientemente el Threat Landscape 2022, el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), publicado el pasado 3 de noviembre, al recoger el panorama general de la seguridad informática y las principales tendencias observadas a lo largo de un año.

Lo mismo hace el Internet Organised Crime Threat Assessment 2021 (IOCTA) publicado por la Agencia de la Unión Europea para la Cooperación Policial (Europol), ya que confirma que el «phishing» y la ingeniería social son los principales vectores de ataque en los fraudes relacionados con los pagos electrónicos, así como con el sector bancario y el financiero.

«Smishing»: el perjuicio a la cuenta de «home banking»

El «smishing» es un ataque de «phishing» que utiliza mensajes de texto en vez de correos electrónicos. Así que el estafador envía un SMS que parece provenir de una empresa fiable. El contenido del mensaje puede tener que ver con algún perjuicio que se haya producido en la cuenta de «home barking» (acceso abusivo, riesgo inminente de bloqueo de la tarjeta, etc.) o con una ganancia o algún tipo de bono que canjear.

Obviamente, todos estos SMS contendrán algún enlace que redirigirá a la víctima que haga clic en él a un sitio web en el que aparecerá un formulario que rellenar con datos personales o con los datos del banco. Toda esta información se enviará a los delincuentes obviamente.

«Vishing»: el falso agente bancario

El «vishing» es un método para robar información personal a través de un contacto de voz. El pirata, o alguien en su nombre, llama a la víctima haciéndose pasar por un empleado de banca, de correos, de una empresa sanitaria o de una compañía telefónica.

Es un ataque que suele empezar con un mensaje que contiene un número de teléfono al que llamar con el mismo objetivo: convencer a la víctima para que proporcione información para acceder a una cuenta bancaria o al propio historial clínico o para que descargue un archivo malicioso («malware») disfrazado de actualización del sistema o servicio.

Es un delito particularmente insidioso, porque los estafadores que lo llevan a cabo actúan en el plano emocional de la víctima, refiriéndose a la obligatoriedad y la urgencia de un determinado comportamiento muy necesario para evitar consecuencias graves e inminentes.

En las grandes organizaciones, con más sedes y departamentos, es muy fácil encontrar víctimas que caen en la trampa y permiten acceder así a los criminales a todo el patrimonio informativo empresarial.

Además, hay que tener en cuenta que la VoIP (voz sobre IP) permite a los malhechores crear números de teléfono virtuales con prefijos geográficos (a los que es mucho más probable que las personas respondan) o casi idénticos a los de las empresas o las organizaciones reales.

También se usa la técnica del «spoofing» para ocultar el ID de quien llama y fingir que un servicio legítimo ha generado la llamada. La probabilidad de que la víctima responda es alta desde el momento en que llamada parece ser legítima al identificarse el ID.
Por todo ello, es muy complicado reconocer la estafa en nuestro teléfono inteligente y localizar al estafador.

Cómo defenderse

Hay formas de defenderse de estas amenazas y hay que tenerlas siempre en mente. En primer lugar, es importante revisar siempre las direcciones, tanto las del remitente como las de las URL, para comprobar que no contengan posibles errores, lo que en seguida nos haría sospechar de estar ante un intento de estafa. En cualquier caso, sería mejor evitar abrir cualquier enlace, a no ser que estemos extremadamente seguros de la autenticidad del enlace.

También es recomendable usar siempre contraseñas seguras y no triviales o instalar un gestor de contraseñas. Sin embargo, aunque estas medidas sean importantes, no garantizan la protección, porque siempre hay riesgo de que el factor humano permita a los delincuentes salirse con la suya. De hecho, este último es precisamente el eslabón débil de la cadena, la grieta por la que se cuelan los malintencionados. Así que, sin la preparación, la conciencia y la postura digital correctas, no hay contraseña que valga. Tarde o temprano se producirá el ataque.

Por ello, es determinante formarse, prepararse y actualizarse continuamente, ya sea en la empresa o en el día a día. No solo sobre la postura digital correcta a la hora de usar el ordenador, sino también al usar un teléfono inteligente, un dispositivo del que no nos separamos prácticamente nunca y que ya usamos para la mayor parte de las actividades diarias.

Más información sobre los itinerarios formativos de Cyber Guru