Estafas
¡Ojo! Así están estafando a través de WhatsApp y otras plataformas de internet
Entre marzo y diciembre de 2020 las denuncias por ciberataques aumentaron más del 101 % en Colombia.
Así como en las calles a los delincuentes les sobra imaginación para crear nuevas modalidades de robo, los conocedores de la internet hacen lo propio, en un entorno en el que los ataques tecnológicos se propagan cada vez más.
En el año 2020 la pandemia fue el talón de Aquiles para los usuarios de la tecnología, pues en el afán por obtener información sobre el coronavirus, muchos cayeron en manos de los ciberdelincuentes. Coronavirus, covid y pandemia fueron las palabras más usadas por los hackers, quienes las emplearon en enlaces y aplicaciones para cometer estafas.
Según el informe Virología móvil 2020 publicado por Kaspersky, el 8,53 % de los usuarios móviles en Colombia fueron atacados en el año de la pandemia. Los datos obtenidos por la compañía de seguridad informática se basan en las cifras reportadas por los usuarios de los productos de la empresa.
Por su popularidad, WhatsApp es la plataforma donde más ciberataques se registran en América Latina, seguido de Facebook. Hace unas semanas se visibilizó una modalidad para captar los datos personales y cometer estafas a través de WhatsApp, donde el secretario de Gobierno de la Alcaldía de Bogotá, Luis Ernesto Gómez, y el senador del Polo Democrático, Iván Cepeda, fueron víctimas de los ciberdelincuentes, entre otros personajes de la vida pública. El Centro Cibernético Policial recibió las denuncias y, en coordinación con la Fiscalía General de la Nación, inició las investigaciones.
En estos casos, los atacantes acceden a una cuenta de WhatsApp y captan los números de teléfono de los miembros de un grupo. Luego, envían un mensaje a través de esta aplicación a los integrantes de ese grupo que dice: “Hola. Lo siento, te envié un código de 6 dígitos por SMS por error, ¿me lo puedes pasar? Es urgente”. Efectivamente, a la víctima le llega un mensaje de texto con un código de seis dígitos y al responder el mensaje de WhatsApp con el código en mención, su cuenta es hackeada. En vez de enviarle el código a su “contacto”, en realidad lo envía al ciberdelincuente.
Para algunos suena descabellado, pero es más sencillo de lo que parece. Entre los estándares de seguridad de WhatsApp está el envío de un código de seis dígitos para verificar el número de teléfono registrado, dando un plazo de dos minutos para que el código sea ingresado y poder acceder al aplicativo sin inconveniente.
Una vez el atacante tiene acceso a la cuenta, obtiene todos los datos de los chats y tiene la libertad de replicar este mismo mensaje a los contactos de su víctima para así hacer caer a más personas en la trampa; algunos optan por enviar mensajes a varios contactos simulando una situación de emergencia para pedir dinero.
Lo anterior está contemplado dentro de la ingeniería social, un conjunto de técnicas que son empleadas por los delincuentes informáticos para engañar a los usuarios de la red con el objetivo de acceder a información confidencial. De este modo, logran captar datos personales, infectar las computadoras con software maliciosos –llamados malware– o hacer que abran enlaces de sitios que están infectados.
La Cámara Colombiana de Informática y Telecomunicaciones en el estudio Ciberseguridad en entornos cotidianos, indica que entre marzo y diciembre de 2020 hubo un incremento superior al 101 % en las cifras de denuncias por ciberataques exitosos, con más de 37.000 casos de noticias criminales instauradas ante la Fiscalía General de la Nación. El consolidado de 2020 fue de 45.104 reportes, un incremento del 89 %, “siendo el año de mayor crecimiento en cifras e impacto de ciberdelincuencia en Colombia, desde la existencia de la ley de delito informático”, indica.
La descarga de aplicaciones también es otro recurso para los ciberdelincuentes. Se han detectado aplicaciones que, al ser descargadas, se instala un troyano en el dispositivo. Los troyanos funcionan como un programa espía que tiene la capacidad de captar toda la información del dispositivo, llámense fotos, documentos, correos, claves bancarias, entre otros, para enviárselos al ciberdelincuente. El atacante también puede habilitar el micrófono o la cámara para grabar conversaciones, acceder a la ubicación, y todas las funciones que tiene el dispositivo móvil. Es importante que cada vez que descargue una aplicación esté atento a los permisos que le otorga.
De acuerdo con Fabio Assolini, analista de Seguridad Senior en Kaspersky, los usuarios del sistema Android son más susceptibles a estos ataques, pues tienen mayor libertad de instalar contenidos fuera de Play Store mediante enlaces maliciosos. Una táctica que es usada en su mayoría contra políticos, periodistas y personajes de alto nivel, no de manera masiva y puesta en marcha “por grupos de espionaje, muchas veces patrocinados por gobiernos para colectar datos de teléfonos”, afirma Assolini. Agrega que los signos de alarma se dan cuando las aplicaciones tardan en abrir o se cierran intermitentemente, se enciende el flash de la cámara o alguna actividad fuera de lo normal en el teléfono.
Hace pocos días se conoció que los datos de 52 millones de usuarios latinoamericanos de Facebook se filtraron, de los cuales casi 10 millones eran de colombianos, es decir, cerca del 30 % de los usuarios que esta red social tiene en el país. El número de identificación de la cuenta (ID), nombre, apellido, ciudad, país, número de teléfono asociado y el estado civil del usuario son parte de la información que hoy está a merced de los ciberdelincuentes y que, según Kaspersky, podría ser usada para lanzar ataques de spear-phishing –un ataque de fraude dirigido– o intentos de robo de cuentas. Así, es posible que lleguen correos de un remitente de confianza aludiendo a una situación de emergencia para pedir dinero o con un enlace con contenido maligno para infectar el dispositivo.
En más de una ocasión el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT) ha alertado sobre las estafas que cometen los ciberdelincuentes con la plataforma de Ingreso Solidario. Algunos estafadores crearon sitios web cuya URL era similar a la que había determinado el Gobierno para obtener información detallada de sus víctimas y otros se dedicaron al envío masivo de mensajes de texto a los que serían beneficiarios de este subsidio, pidiendo una suma de dinero –no muy alta– para que le fuera otorgado el beneficio. En algunos casos se sumaron los dos factores: pedían a los usuarios rellenar un formulario detallado y, al final, era necesario pagar una comisión para recibir el “beneficio” del Gobierno.
Los beneficios gubernamentales provienen de páginas cuyos enlaces, en el caso colombiano, son terminados en gov.co, el .co es el dominio que hace referencia a las páginas que se originan en Colombia. Otra medida a tener en cuenta es que siempre esté el candado que se ubica al costado izquierdo del link de la página donde está navegando.
De acuerdo con las estadísticas de Asobancaria, en 2020 aumentó 7,4 por ciento el valor de las reclamaciones por fraude en comparación con 2019. Esto obedeció a un incremento en las reclamaciones en canales digitales, donde se hubo un crecimiento del 44 por ciento; de cada 10.000 pesos que pasaron por canales digitales en 2020, 0,32 pesos fueron objeto de fraude.
Assolini asegura que para prevenir estos ataques la solución no está en dejar de usar los dispositivos sino tener tres puntos presentes. Primero, contar con un buen antivirus instalado –la mayoría son gratuitos–; segundo, si le llega un mensaje con un código de seis dígitos no lo comparta con nadie y, tercero, activar la verificación en dos pasos en WhatsApp. Al activarla, tendrá que ingresar un PIN de seis dígitos que le pedirá la aplicación cuando registre su número de teléfono en WhatsApp y un correo electrónico para restablecer su cuenta en caso tal de que olvide el PIN.
Los expertos indican que el WhatsApp es seguro si es usado para conversaciones familiares o con amigos, no obstante, si el usuario debe manejar información confidencial, es recomendable que haga uso de otras aplicaciones que ofrezcan mayor seguridad como es el caso de Signal.
Para Juan Marciales, gerente de Cyber Security Services de KPMG, la estrategia clave para mitigar este tipo de ataques está en “la adopción de una cultura y conciencia en seguridad fuerte”, la cual permita a los usuarios un entorno para que desarrolle los comportamientos y hábitos adecuados en el marco de esta virtualidad.
El teniente coronel Julián Buitrago, jefe del Centro Cibernético Policial, destaca la importancia de tener contacto con esta institución que cuenta con asesoría 24/7 frente a las dudas cibernéticas que tengan las personas. Colombia cuenta con el Sistema Nacional de Denuncia Virtual, ADenunciar, donde los colombianos pueden radicar denuncias en forma virtual y a las 24 horas reciben un correo electrónico informándoles qué fiscal le fue asignado a su caso y la noticia criminal.
Muchas personas evitan denunciar, algunas alegando que “no pasa nada” con esos requerimientos o porque tardan largos periodos en ser resueltos los casos, entre otras razones. Al respecto, el T.C. Buitrago señala que en el país hace falta trabajar en materia de legislación y que haya una corresponsabilidad entre el sector público-privado. Desde las instituciones trabajan para que los tiempos de respuesta de las compañías a los requerimientos de las autoridades sean más cortos. “Lo público está subordinado a los tiempos del sector privado”, señala.
Todo dispositivo que esté conectado a la internet está en riesgo de ser sujeto de ataques, lo importante es que esté atento a los permisos que le otorga a las aplicaciones, lo comentarios que tengan en la tienda y alerta a los contenidos que considere maliciosos.