En la Era Digital los ciberdelincuentes aprovechan la confianza y el desconocimiento de la gente para realizar fraudes y estafas por Internet, haciéndose pasar por instituciones bancarias, empresas o incluso presentándose abiertamente como criminales, pasando por engaños, promesas… Y amenazas.
De acuerdo a especialistas, las estafas van desde ofrecer trabajos por mensajería de Whatsapp y Telegram hasta amenazas directas por parte de supuestos hacker, exigiendo dinero para no actuar contra la víctima.
El especialista de la firma checa de ciberseguridad Avast, Luis Corrons, destacó que los riesgos de ciberestafas en México aumentaron 87% en la primera mitad de 2023, respecto al mismo periodo en el año anterior.
Para que las estafas funcionen, uno de los pasos que realizan los ciberdelincuentes es obtener datos de sus posibles víctimas.
Apenas este año, de acuerdo a la compañía de software israelí Perception Point, se detectó una operación de phishing denominada “Caimán manipulado”, dirigida principalmente a los ciudadanos de México.
“La campaña intentó obtener acceso a las cuentas bancarias de las víctimas mediante ataques de phishing utilizando archivos adjuntos maliciosos. Los investigadores obtuvieron casi 40 millones de direcciones de correo electrónico objetivo de la campaña”.
De acuerdo con la multinacional tecnológica IBM, el phishing es la forma más común para engañar, presionar o manipular a las personas para compartir información confidencial, mediante correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos.
“Los ataques de phishing con éxito a menudo implican la usurpación de identidad… basa su éxito en tácticas de error humano y presión. El atacante normalmente se hace pasar por una persona u organización en la que la víctima confía (por ejemplo una compañía)”, detalla la empresa en su sitio web.
Además, diversas plataformas han visto vulneradas sus bases de datos, exponiendo correos, contraseñas, nombres de usuarios y direcciones IP, como ocurrió en junio de 2020 con la empresa Yotepresto, con sede en Jalisco.
“La plataforma mexicana de préstamos yotepresto.com sufrió una violación de datos. Más de 1.4 millones de clientes se vieron afectados por la infracción que reveló direcciones de correo electrónico y IP, nombres de usuario y contraseñas almacenados”, destaca el Centro Nacional de Ciberseguridad de República Dominicana.
Dicho centro cuenta con una herramienta virtual, en la que al ingresar el correo electrónico del usuario muestra si éste ha sido comprometido y cuántas veces a lo largo de los años, conforme a alertas internacionales.
Sextorsión
“Hola. Soy un hacker profesional y he logrado hackear tu sistema operativo. Actualmente he obtenido acceso completo a su cuenta. Además, estuve monitoreando en secreto todas tus actividades y observándote durante varios meses”, dice un correo enviado en inglés a una de las víctimas.
Por supuesto, el mensaje va subiendo de tono cuando el presunto hacker menciona que ha “realizado una recopilación de videos, que muestra en el lado izquierdo escenas tuyas masturbándote felizmente, mientras que en el lado derecho muestra el video que estabas viendo en ese momento”.
Para finalmente llegar a la extorsión: “Esto es lo que debes hacer: transferir el equivalente en Bitcoin de 600 dólares a mi cuenta”, dice el correo enviado desde dlashondaky@mail4y.com.
De acuerdo con la firma Avast, este método es conocido como sextorsión, en el que estafadores afirman contar con material íntimo de la víctima y exigen a cambio un pago exprés para no ser expuestos.
Y mientras que algunos de los criminales envían correos de forma masiva esperando que algunas de las víctimas caigan, otros buscan comprobar si la cuenta está activa para proceder a otro nivel de estafa.
“Hola, quiero preguntar si te llegó el email que te envié hace unos días, consulto ya que no recibí respuesta. Te mande un email a ………@hotmail.com pero no se si te llego. Disculpa la molestia, pero parece que estoy teniendo problemas con mi correo, si este email te llega como spam/correo no deseado te pediría si sos tan amable que lo pases a bandeja de entrada, así te vuelvo a enviar la consulta para que te llegue correctamente.
Saludos. Maria Ramos”, dice otro correo, enviado a la víctima desde avisos@em.mypsx.net.
En nuestro país, se estima que 7 de cada 10 organizaciones mexicanas han sufrido un ciberataque, sin embargo, debido a la falta de reportes por parte de las empresas, no se cuenta con una cifra oficial que precise el número de casos, señalaron especialistas.
“Es muy difícil saber esto, porque la única gente que puede saber en qué nivel estamos son los ciberdelincuentes (…) muchas organizaciones no van a reportar sus ataques por temas de reputación, por lo tanto, esa estadística no se puede tener al cien por ciento”, explicó Enrique Herrera, fundador de la firma Cyberimox.
Pese a la falta de reportes por parte de organizaciones, aseguró que las estadísticas posicionan a México como el país con más ciberataques en Latinoamérica, tan solo detrás de Brasil.
“En primer lugar está Brasil, en segundo México con un 23%, Colombia, Perú y el resto de Latinoamérica. Esas son las estadísticas que hoy en día se tienen en temas de ciberseguridad”, explicó Herrera en conferencia durante el foro Info Security México, realizado este miércoles.
Al respecto, detalló que el 59% de los ciberataques se realizan a través del correo electrónico y phishing.
Por su parte, Jorge Osorio, vocero de Infosecurity México, aseguró que este grupo de estafadores, no necesariamente hackers, “son grupos organizados. Hemos visto, por ejemplo, empresas que se hacen pasar por otras empresas de préstamo de dinero, por ejemplo, por alguna fintech. Se hacen pasar por la empresa real y realizan toda una estafa. Son call centers completos dedicados a eso, no es una sola persona”, refirió en entrevista con 24 HORAS.
Las empresas que son suplantadas pueden ir desde Amazon, Mercado Libre y Apple, entre otras, ya sea buscando ingresar los datos de una cuenta que pudiera tener el usuario (en el caso de Apple, por ejemplo) o que la víctima abra un archivo posiblemente malicioso en su computadora.
Entre otros métodos de estafa, detalló Osorio, ciberdelincuentes operan con una doble función de recolección de dinero y likes, muchas veces, como parte de servicios ofrecidos a terceros para crecer su número de interacciones en redes sociales.
“Te llega un mensaje en el que te están ofreciendo un trabajo, te dicen que puedes ganar cierta cantidad de dinero, únicamente dando likes o viendo algún vídeo. Llega un punto en el que te dice mira, ya está, ya te ganaste tanto dinero, ¿pero a qué cuenta te los depósito? ‘Hazme un depósito para que tengamos la certeza de que es tu cuenta’, y pues obviamente no se ganó nada y probablemente ayudó a alguien más a crecer en número de likes o número de vistas en redes”, detalló Osorio.
“Algo muy parecido pasa vía mensaje, donde de plano te dicen que ya fuiste contratado, que ya fuiste seleccionado para realizar algún trabajo porque cumples con el perfil y que dejes tus datos en una URL. Es el inicio de cómo empieza la estafa, y al final de cuentas el pretexto puede ser cualquiera, pero ya tienen tus datos”, advirtió.
Entre estos mensajes, a los usuarios llegan ofertas de trabajo (no solicitadas, por supuesto) de criminales suplantando empresas internacionalmente reconocidas, volviendo nuevamente al caso de Amazon y Mercado Libre, pero incluso también haciéndose pasar por otras como el estudio de películas Paramount.
Para el especialista, la mejor prevención frente a este tipo de estafas es el conocimiento: “Si yo conozco que existen este tipo de situaciones, es mucho más fácil que las pueda prevenir, entonces el reto muchas veces es llevar este conocimiento a los cientos de miles de personas que no conocen que existen”.
En México, La Guardia Nacional exhorta a la ciudadanía a reportar todo abuso o delito cibernético al número 088 o al correo cert-mx@sspc.gob.mx
LEG