Es habitual que se reciban a diario todo tipo de mail o SMS con información de diferentes compañías. Desde el anuncio de promociones bancarias, estrenos en plataformas de streaming y hasta cambios en los valores de publicación en Mercado Libre son notificados por esta vía de comunicación.
Pero las empresas no son las únicas que utilizan ese canal online, también es un método explotado por los ciberdelincuentes, quienes se valen de todo tipo de engaños para vulnerar a los usuarios desprevenidos y robarles información sensible que luego pueden utilizar para acceder a las cuentas de las personas o clonar perfiles y luego venderlos.
Esta metodología cobró fuerzas en los últimos días con una campaña masiva de mails enviados por estafadores que se hacen pasar por Netflix donde se les pide a los usuarios que actualicen su información con el objetivo de robar sus accesos con la intención de venderlas.
Esta metodología, conocida como smishing, comienza con la recepción de un mensaje en el que se advierte que se ha suspendido la suscripción (de Netflix en este caso, pero puede ser también con el nombre de otras compañías), y que para recuperarla se debe ingresar en el enlace adjunto en el mail para actualizar la información.
Si el usuario cae en la trampa e ingresa los datos solicitados en el link, los estafadores habrán conseguido su objetivo de robar las credenciales de la cuenta para venderla a otras personas.
En diálogo con iProUP el experto en seguridad informática y CEO de BTR Consulting, Gabriel Zurdo advierte que "no es inusual que, en el caso del correo y los chats, se acompañe el link del sitio fraudulento con alguna historia falsa sobre la compañía necesitando que el usuario entre a su cuenta. Así, cuando la víctima escribe sus credenciales para entrar al supuesto sitio, lo que está haciendo en realidad es dárselas al atacante".
"La forma más efectiva para evitar esta estafa es observar muy bien la URL de cada página en donde poseamos fondos antes de introducir cualquier credencial. En el phishing, la URL cambia siempre en algún carácter, dado que el dominio (nombre) de la empresa o proyecto ya está tomado y no es posible que existan dos exactamente iguales. En este sentido, una vez que identifiquemos la página real, deberíamos guardarla en Favoritos y entrar por allí, en lugar de usar los resultados de búsqueda", aconseja el experto.
Zurdo explica que los estafadores y ciberdelincuentes emplean formas realmente innovadoras y sumamente eficaces para llevar a cabo los engaños.
"Nuestros sondeos dan cuenta que el fraude tiende a involucrar una combinación de herramientas tecnológicas y esfuerzos de ingeniería social para manipular y engañar a la víctima", revela el especialista.
En ese sentido, Zurdo añade que "diariamente se registran casos de robo de datos o pérdida de la privacidad de los usuarios debido al ingreso a enlaces y links sospechosos o el uso de aplicaciones no oficiales que prometen un ‘plus’ y características ‘premium’, potencialmente incluyen malware en aplicaciones premium infectadas descargadas desde links de dudosa procedencia".
Además, el CEO de BTR Consulting advierte que las redes sociales "se han posicionado como materia prima para la acción de ciberinteligencia por parte de los delincuentes y los propios usuarios se han convertido en corresponsables y participes necesarios de su conversión en víctimas".
"No importa cómo cambien de forma los mecanismos para ejecutar el fraude, seguirán confiando para su éxito en los mismos aspectos básicos de la psicología humana. Los defraudadores tendrán éxito, como siempre lo han hecho, al explotar el miedo, la ansiedad y la disposición de sus víctimas a confiar en mensajes que parecen provenir de fuentes oficiales. Es determinante comprender que el factor humano es y será clave en este aspecto, este no es un asunto que no se soluciona con tecnología, requiere de múltiples factores y su coordinación", concluye el experto.