En tiempos de COVID estamos sufriendo un auge de estafas digitales. El deterioro de la economía, la pérdida de empleos y el teletrabajo con uso de equipos personales que, en ocasiones utiliza el trabajador y toda su familia, están favoreciendo el apogeo de estos peligrosos enemigos.
Recientemente, se ha detectado un auge del Fishing y Vishing, suplantando frecuentemente organismos públicos o entidades bancarias. Los estafadores suelen utilizar como cebo entidades de nuestra confianza, en las que sin pensarlo dos veces accedemos a dar nuestros datos o incluso realizar pagos.
A continuación, les ofrecemos información y herramientas para detectar a tiempo la estafa o tratar de minimizar los daños que esta pueda producir:
- Estafas a través de Fishing
El fishing es una estafa que tiene como objetivo obtener datos privados de los usuarios, para acceder a sus cuentas o datos bancarios. Generalmente suelen enviar al usuario por email un link o incitarle a descargar un archivo adjunto.
Los fishings más recurrentes son correos electrónicos suplantando a organismos, entidades y empresas, tanto públicas como privadas. Los más conocidos en la actualidad son del Ministerio de Trabajo y Economía Social, a la Dirección General de Tráfico (DGT), a la Agencia Tributaria, o incluso compañías telefónicas.
En estos emails podemos encontrar enlaces o archivos adjuntos que al pulsar sobre ellos o descargarlos, nos instalan un malware en el dispositivo. Este malware infectará el dispositivo y de esta forma podrán obtener los datos perseguidos.
¿Cómo reconocer estos correos?
Estos correos están diseñados para despertar el interés en el usuario, utilizando técnicas de ingeniería social, ya sea con un asunto en el mail que aparente algo positivo o algo negativo. Por ejemplo, en el caso de la Agencia Tributaria podrá ser: “Devolución de Impuestos” o “comprobante de transferencia bancaria”. O para el resto de suplantados: ‘Proceso de trabajo Extrajudicial Nxxxxxxxx’, ‘RE: Dirección General de Tráfico – Atención Detectamos en nuestro sistema un registro de multa de tránsito no pagada. – (xxxxxxxxxxxx)’ y en el caso de ‘Vodafone – Factura electrónica retrasada n. 0021001-2020 – (xxxxxxxxxx)’.
¿Cuál suele ser el contenido de estos correos estafa?
- Contienen imágenes en miniatura que simulan ser documentos adjuntos que enmascaran el enlace fraudulento.
- Facilitan enlaces que simulan pertenecer al sitio oficial, pero que, al hacer click sobre ellos, redirigen al dominio que aloja y descarga el malware.
- Redactados con faltas de ortografía (ausencia de tildes, erratas)
- Las fechas de emisión son muy próximas al día en que se recibe el correo electrónico, o incluso del mismo día.
- Simulan la dirección del remitente suplantado usando los mismos dominios del gobierno. Ejemplo: “gob.es”, de la DGT “dgt.es” o Vodafone “@vodafone.es”. Sin embargo, a veces podrá ser el mismo dominio ya que, para estos estafadores es posible suplantarlos.
¿Qué debemos hacer al recibir un correo así?
- No abrir correos de usuarios desconocidos, sospechosos o no solicitados, eliminarlos directamente.
- En caso de duda, consultar directamente con la entidad implicada “supuesto remitente” o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.
- No contestar a estos correos, sin realizar la anterior verificación.
- Precaución al pinchar en enlaces o descargar ficheros, aunque sean de contactos conocidos.
- Revisar la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que se desea acceder, no facilitar ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
De manera adicional, es conveniente tener en cuenta, las siguientes recomendaciones que facilitan los bancos y entidades financieras en su sección de seguridad:
- Cierre todas las aplicaciones o programas antes de acceder a su web.
- Escriba directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
- Si prefiere hacer uso de la app del banco para los distintos trámites, asegúrese de descargar la aplicación oficial.
- No acceda al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.
¿Cómo actuar si ya ha descargado el archivo adjunto o pinchado en el link?
En primero lugar, deberá escanear el dispositivo con un antivirus actualizado. El Instituto Nacional de Ciberseguridad (INCIBE) le puede proveer soporte o asistencia para la eliminación del malware.
Si solo ha descargado el archivo, pero no lo ha ejecutado, es muy posible que su dispositivo no haya sido infectado. Por lo tanto, debe eliminar el archivo inmediatamente, el cual encontrará en la carpeta de “descargas”. Además, deberá ir a la bandeja de entrada de su correo electrónico y enviar el email a la papelera de reciclaje.
Recuerde realizar copias de seguridad de manera periódica, de modo que si su dispositivo se infecta no pierda archivos, información o datos importantes. Es fundamental mantener el antivirus actualizado.
Estafas a través de llamadas telefónicas (vishing)
En este caso los estafadores contactan con el usuario por vía telefónica, suplantando a organismos oficiales como la Seguridad Social, entidades bancarias o incluso compañías telefónicas, con el objetivo de que realice un pago a través de un proveedor de servicios de pago.
Por ejemplo, en el caso de la Seguridad Social, le pueden indicar que van a recibir un reembolso de una cantidad de dinero bajo cualquier pretexto (prestación por maternidad, hijos a cargo, etc.) y que se gestionará a través del proveedor de servicios de pago Bizum. En este caso, lo que en realidad se estará efectuando, en vez de un reembolso, es un pago a través de Bizum al estafador que se encuentra al otro lado de la línea.
Por otro lado, del mismo modo se están utilizando otras formas de realizar cargos a los usuarios en sus cuentas bancarias. Por ejemplo, dándoles instrucciones por teléfono sobre cómo configurar el servicio de pago, es así como recopilan datos sensibles y envían un mensaje de solicitud de transferencia.
¿Qué debemos hacer al recibir una llamada sospechosa?
- Si la llamada telefónica le resulta rara, diferente a las que suele recibir habitualmente de estas entidades u organismos oficiales, si le realizan preguntas sobre información o datos que ya deberían tener, o si se lo solicitan sin ningún protocolo de seguridad, no proporcione ninguna información y finalice la llamada.
- Realice una búsqueda del número por Internet, es posible que esté identificado como fraudulento.
- Acuda a la fuente oficial (por ejemplo, llame a su banco, a la Seguridad Social o quien corresponda en cada caso)
- Si se trata de un fraude, bloquee el número para que no puedan volver a llamarle.
¿Cómo actuar si has contestado a la llamada y has facilitado la información solicitada?
Si has recibido una llamada de estas características y has facilitado los datos o información ponte en contacto directamente con tu banco para tomar las medidas de seguridad que correspondan, y así evitar que realicen cargos adicionales.
También puedes vigilar de manera regular la información que existe sobre ti en Internet, con el fin de detectar si tus datos privados podrían ser utilizados sin tu consentimiento. Esto se llama egosurfing y le permitirá controlar qué información hay sobre ti en la red.
Si encontraras en Internet algún dato que no quieres que aparezca, o aparece sin tu consentimiento, puedes ejercer los derechos de acceso, rectificación, supresión, olvido, limitación del tratamiento de tus datos personales. En la página web de la Agencia Española de Protección de Datos podrás encontrar las pautas debidas para que los puedas ejercer.
Y por último, denuncia la situación ante la Agencia Española de Protección de Datos y/o ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
Si necesitas nuestro asesoramiento porque haa sido víctima de una situación de este tipo, o porque quiere poner en marcha todas las herramientas necesarias para evitar caer en manos de estos estafadores, ponte en contacto con nosotros.
ATEA CORPORATE COMPLIANCE, S.L
Tel. 911 610 310