Typosquatting, vishing y smishing son solo algunas de las técnicas que los ciberdelincuentes emplean en fechas como Black Friday y Cyber Monday, en las que se multiplican las compras online, plagadas en muchas ocasiones de ofertas que no son lo que aparentan y resultan en el robo masivo de datos y dinero de los usuarios.
Estos días se caracteriza por una amplia gama de descuentos y promociones que abarcan desde productos electrónicos hasta ropa, juguetes, electrodomésticos y más. Tanto las tiendas físicas como las online ofrecen ofertas irresistibles, lo que atrae a millones de consumidores en busca de ahorros. La creciente popularidad de este evento ha llevado a muchos comercios a extender las promociones durante toda la semana, e incluso algunas ofertas comienzan días antes.
Estas situaciones es más que favorable para los ciberdelincuentes, que diseñan diferentes campañas de ingeniería social —ataques diseñados para engañar a los usuarios para acceder a información útil— para aprovechar el movimiento de compras y datos, por lo que conviene tener en cuenta cuáles son los más frecuentes en estos días.
En primer lugar, conviene apuntar que en estos días de compras se dan con frecuencia los fraudes con cupones falsos, descuentos y las conocidas promociones flash, que buscan atraer a los usuarios más desprevenidos que creen que no deben dejar escapar una oferta demasiado atractiva.
Estos también suelen ser víctimas del denominado malvertising o distribución de anuncios online que emplean los ciberatacantes para distribuir programas maliciosos o redirigir el tráfico del usuario.
También se da una amplia difusión de aplicaciones maliciosas, diseñadas con la intención de robar datos haciéndose pasar por otras legítimas, dañar dispositivos o comprometer la seguridad de los usuarios, que acaban convertidos en víctimas tras su instalación.
A pesar de que Black Friday y Cyber Monday son fechas señaladas para los ciberdelincuentes, estos también aprovechan la ocasión para ejecutar campañas con técnicas tan sencillas y efectivas como el typosquatting, que consiste en crear tanto apps como webs falsas aprovechándose de errores tipográficos comunes y cambiar letras y números que tienen apariencia muy parecida. Por ejemplo, la letra ‘o’ por un cero (0) o la letra ‘l’ por una ‘i’ mayúscula (I).
Si bien no son exclusivos de estos días de compras, en estas fechas nunca faltan los ataques de phishing, fraudes a través de correos electrónicos dirigidos a la obtención de datos personales y financieros. Este consiste en engañar a un usuario haciéndose pasar por una empresa, servicio o persona de confianza.
Para ello, los estafadores crean un correo electrónico aparentemente legítimo y envían comunicaciones que requieren una acción inmediata. Por ejemplo, hacer clic en un enlace que dirige a una página web que resulta ser falsa, a pesar de que pueda tener una apariencia legítima.
Aprovechando esta técnica, conviene apuntar que también es habitual la clonación de sitios web, páginas ilegítimas que los actores maliciosos emplean para recoger información de identificación personal (PII), credenciales de acceso y datos personales de los consumidores.
En ambos casos, y para que los usuarios no acaben mordiendo el anzuelo, es recomendable acceder al servicio propuesto a través del navegador, introduciendo en ellos la url enviada a través de estos mensajes de forma manual, en lugar de hacer clic directamente sobre el enlace.
El vishing también apunta a una presunta urgencia a través de llamadas telefónicas falsas, en las que los agentes maliciosos se hacen pasar por alguna empresa o servicio para obtener información confidencial. Lo más habitual es que suplanten la identidad del banco e informen de un presunto problema con las tarjetas de crédito de las víctimas y que precisan información personal para bloquearlas para evitar fraudes.
En la línea con estas estafas telefónicas, conviene recordar que se ha multiplicado un nuevo tipo de engaño donde la víctima recibe una llamada y, cuando responde con un ‘sí’, salta una locución en la que se avisa de que ha formalizado la contratación de un servicio determinado.
Los usuarios, desconcertados, devuelven la llamada y dan sus datos confidenciales para, presuntamente, cancelar ese servicio, de manera que dejan expuesta toda su información personal para que los ciberdelincuentes hagan con ella lo que se les antoje, incluso contratar otro servicio a su costa.
*Con información de Europa Press