Suplantadores de identidad en las redes sociales

Los ciberdelincuentes innovan continuamente sus intentos de robar datos personales a los internautas haciéndose pasar por agentes confiables. Las redes sociales se han sumado recientemente a ser parte de su blanco.

Uno de los tipos de fraude en línea más habituales se conoce como ‘phishing’, un término que surgió en la década de 1990 y que se utiliza para describir a un intento deliberado de obtener información confidencial, como credenciales de inicio de sesión o números de tarjetas de crédito, haciéndose pasar por una entidad confiable, como una organización o una empresa.

Hasta ahora la mayoría de los ataques del denominado ‘phishing’ de marca se enfocaban a un puñado de grandes corporaciones dedicadas a la tecnología, el comercio electrónico, el entretenimiento, las búsquedas en internet y la paquetería.

Pero últimamente, y debido al creciente número de personas que trabajan y se comunican en línea y a distancia con la pandemia, las redes sociales se sitúan por primera en la lista de los 10 marcas más utilizadas para ataques de ‘phishing’ a nivel mundial, según la firma de ciberseguirdad Check Point Software Technologies (CPST) con sede en Israel. Las estafas de ‘phishing’ más habituales se efectúan replicando un sitio web que se asemeje a la página de inicio de sesión de una empresa existente, pero con una URL un poco diferente. Si se logra engañar a un usuario final, este puede introducir su nombre de usuario y contraseña, según CPST.

Otros intentos de ‘phishing’ habituales consisten en enviar un correo electrónico a una persona, simulando ser una figura de autoridad en un sitio web conocido o una institución de confianza para solicitarle información, así como intentar iniciar una conversación con un usuario a través de una aplicación de mensajería instantánea, según esta fuente.

Uno de los canales más habituales para esta modalidad de estafa son los dispositivos móviles ya que, debido a sus pantallas pequeñas, los enlaces y las páginas web fraudulentas son más difíciles de distinguir de los verdaderos, por lo que los usuarios tienen más posibilidades de ser víctimas de un engaño.

NUEVA TENDENCIA EN EL ‘PHISHING’ DE MARCA. Desde finales del pasado año se registra una nueva tendencia en lo que respecta a las marcas más imitadas por los ciberdelincuentes en sus intentos de robar información personal o credenciales de pago de los usuarios, según la división de Inteligencia de Amenazas de CPST.

Por primera vez, las redes sociales están entre los sectores más imitados en los intentos de ‘phishing’, ya que WhatsApp, LinkedIn y Facebook aparecen en la lista de las diez marcas más imitadas, encabezada por Microsoft, Amazon, DHL, Bestbuy y Google, y en la que también figuran Netflix y Paypal.

“Los ciberdelincuentes intentan innovar constantemente para robar los datos personales y las redes sociales están ahora entre las categorías más explotadas por la creciente cantidad de personas que trabajan y se comunican en línea”, según Omer Dembinsky, director de Inteligencia de datos de CPST.

“Desafortunadamente no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de ‘phishing’” ya que, a menudo, es el usuario el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico”, señala Dembinsky. Omer recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas y los anima a que “se lo piensen dos veces” antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son las más propensos a ser suplantadas. Y tras los datos del pasado año, que revela el informe ‘Q3 Brand Phishing’ de Check Point, también insta a los consumidores a “estar atentos a cualquier correo u otro tipo de comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp”.

MUCHA ATENCIÓN ANTES DE ABRIR UN ENLACE. Explica que en un ataque de ‘phishing’ de marca, los ciberdelincuentes intentan imitar la página web oficial de una empresa conocida utilizando un nombre de dominio o una URL y un diseño de sitio web similares a los del auténtico. Señala que el enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto y que el usuario puede ser redirigido durante la navegación web o ser engañado desde una aplicación móvil fraudulenta. “La página web falsa suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios”, explica Dembinsky.

Desde CPST describen un ejemplo de intento de robo de cuenta de un usuario por medio de un email de ‘phishing’ que en apariencia es de LinkedIn, pero en realidad es fraudulento. El texto del mensaje, enviado desde la dirección de email Linkedln (linkedin@connect[.]com), contenía el asunto “You have a new Linkedln business invitation from *****”.

El atacante intentaba atraer a la víctima para que hiciera clic en un enlace malicioso, que redirigía al afectado a una página fraudulenta de inicio de sesión en Linkedln. En el enlace (https://www[.]coversforlife[.]com/wp-admin/oc/nb/LinkedinAUT/login[.]php), el internauta debía introducir su nombre de usuario y su contraseña. En el sitio web fraudulento se podría apreciar que no se había cambiado el año (“LinkedIn 2020”).

¿Cómo protegerse de los ciberataques en casa? Cuando teletrabajamos desde casa nos distraemos y somos más vulnerables a los ciberataques, según expertos universitarios, que sugieren “pensar antes de hacer clic en un enlace” y ofrecen claves para proteger los ordenadores, móviles, tabletas y electrodomésticos inteligentes de nuestra red doméstica. A partir de la pandemia un gran número de personas ha trasladado su lugar de trabajo -a tiempo completo o algunos días de la semana- al salón, una habitación, la cocina e incluso al dormitorio de su vivienda, en algunos momentos de día. Pero esta rápida transición del trabajo presencial en la oficina al teletrabajo desde casa, no siempre se ha visto acompañada de unas medidas de ciberseguridad adecuadas, según los expertos.

“Los trabajadores se fueron a casa sin estar preparados, lo que creó una situación ideal para los ciberdelincuentes”, explica Helena Rifà, profesora de los Estudios de Informática, Multimedia y Telecomunicación (EIMT) de la Universitat Oberta de Catalunya (UOC).

El docente Jordi Serra, también de los EIMT, coincide con Rifà y considera que en nuestras casas “estamos más distraídos y somos más vulnerables” y, por lo tanto, “estamos peor protegidos”. “Al trabajar desde casa no somos tan conscientes de que los dispositivos o el PC que utilizamos quizá no tienen instalado el software necesario, como antivirus o cortafuegos, para proteger el sistema, como sucede cuando trabajamos con los equipos de la empresa en la oficina”, explica Serra. “En casa a veces nos dejamos llevar por la confianza, estando menos atentos, distraídos o pensando en otras cosas, al trabajar con los mismos equipos que usamos para navegar y buscar información, o al abrir los posibles correos maliciosos, que pueden enviarnos ciberdelicuentes que se hacen pasar por una persona u organización”, añade.

La red doméstica, en la mira. Aunque muchos trabajadores han vuelto a las oficinas, a diario o algunas jornadas de la semana, en la modalidad de trabajo híbrido (presencial y online) es necesario “minimizar los riesgos en los domicilios e incluir barreras en ordenadores, ‘tablets’, móviles o electrodomésticos inteligentes para evitar ataques”, exponen los expertos de la UOC.

Durante la pandemia, muchas personas crearon numerosas cuentas adicionales, en páginas web de entretenimiento o de compras y la mayoría reutilizó las contraseñas que ya tenía, lo cual aumentó el riesgo de introducir virus informáticos o ‘malware (programas maliciosos), según esta misma fuente. “Las tabletas electrónicas y los teléfonos móviles son puntos de entrada de problemas, igual de vulnerables o más que un ordenador de mesa o PC”, advierte Serra, que remarca que los atacantes aprovechan los momentos en los que “bajamos la guardia” para entrar en nuestro sistema doméstico. “La comodidad a veces es amiga de la ciberdelincuencia: es difícil que alguien tenga un antivirus instalado en el móvil, lo cual facilita que sufra ataques”, comenta por su parte Rifà. Los expertos de la UOC ofrecen algunas recomendaciones básicas para cuidar la seguridad virtual de nuestra casa y evitar ciberataques, bajo el lema de “piensa antes de hacer clic”:

Proteger todos los dispositivos. Aunque casi todos los programas maliciosos actuales se crean para atacar móviles, es aconsejable proteger todos los dispositivos con los que nos conectamos a internet: desde el ordenador personal hasta un electrodoméstico que se conecta a la red, así como el ‘smartphone’ o una ‘tablet’, advierte Serra. Además, la profesora Rifà considera esencial hacer copias de seguridad, actualizar el “software” periódicamente y tener bloqueados los dispositivos con contraseña o clave PIN, para evitar el acceso de intrusos.

Los antivirus, esenciales. Aunque “no nos protegen al 100 % hay que instalarlos porque detectan los virus conocidos, con lo que buena parte de los ataques serán reconocidos y detenidos”, señala Serra.

Reforzar y actualizar contraseñas. “Las contraseñas deben ser largas y no deben contener información personal”, resume Rifà. Para componerlas, esta profesora aconseja “evitar las palabras del diccionario” y crear las contraseñas a partir de una frase o el estribillo de una canción, mientras que Serra sugiere tener un patrón común de contraseña y luego cambiar una parte de dicha pauta, en cada nueva web en la que nos demos de alta. En todo caso, “es necesario cambiar cada seis meses las contraseñas que nos dan acceso a webs “delicadas”, como la de nuestra entidad bancaria, señalan.

Los riesgos de la casa inteligente. Los sistemas que automatizan las instalaciones de una vivienda, (tecnología domótica) y otros dispositivos que se conectan a la red dentro del concepto del ‘hogar inteligente’, también pueden ser la puerta de entrada de ciberataques, según la UOC. El router y el televisor deben tener una contraseña propia, y también “las bombillas que podemos encender o cambiar de color a distancia, que a veces carecen de suficiente seguridad”, añaden.

Estudiar la reputación digital. Cuando hacemos una compra en línea o vamos a instalar un programa, tenemos que “fijarnos en las reseñas y ver si otras personas han tenido una experiencia satisfactoria”, señala Rifà. También sugiere comprobar si la web en la que vamos a realizar una compra tiene cifradas sus comunicaciones -lo que se muestra con un candado cerrado al lado de la URL- y realizar el pago a través de una plataforma bancaria, lo cual es más seguro dar el número de la tarjeta a una tienda directamente.

Mejor desconfiar que precipitarse. La precaución y el sentido común deben guiar nuestros pasos en internet, según Serra y Rifà, que sugieren desconfiar como norma de cualquier correo o mensaje que se reciba y comprobar quién es realmente la persona que nos lo ha enviado antes de abrir cualquier archivo adjunto.