La Organización de Consumidores y Usuarios (OCU) advirtió sobre el incremento de las estafas mediante mensajes de texto SMS para robar datos de las cuentas de Netflix a los usuarios.
La plataforma de streaming estadounidense dio de baja la oportunidad de compartir cuentas entre usuarios no convivientes en el mismo hogar a comienzos de febrero.
Respecto a esto, implementó distintas medidas como asignar una ubicación principal y la posibilidad de crear subcuentas para los usuarios ajenos al hogar por 5,99€ adicionales al precio de la suscripción.
Como consecuencia de estos cambios, los ciberdelincuentes aprovecharon el momento y lanzaron ataques de tipo ‘smishing', es decir 'phishing' a través de SMS, con el objetivo de confundir a los suscriptores para robar su usuario y contraseña.
Desde OCU, explicaron que el modus operandi de los ciberdelincuentes se trata de enviar mensajes de texto a los usuarios notificando que el servicio de su cuenta fue suspendida por problemas con el pago.
De esta manera, los atacantes engañaban a los usuarios a entrar "cuanto antes" en el enlace adjuntado en el SMS para volver a iniciar sesión y solucionar el problema, pero la página a la que eran dirigidos era falsa y simulaba ser la de Netflix.
Por ende, a través de esta estafa ‘smishing’ los ciberdelincuentes roban las credenciales de acceso a la cuenta de la plataforma de streaming.
Si bien la OCU recordó que estas maniobras fraudulentas se realizaban previamente, se registró un aumento de este tipo de estafas.
Con respecto a estos ataques, Netflix comunicó que en ningún caso pedirá a través de un SMS o correo electrónico información sobre los números de tarjetas bancarias, datos de la cuenta o contraseñas de la plataforma.
Asimismo, el servicio alertó que si el mensaje de texto o correo electrónico incluye un enlace a una URL desconocida, no deberán clickear en él.
"Si ya lo has hecho, no introduzcas ningún tipo de información en el sitio web que se ha abierto", concluyó.
La compañía Prex elaboró un informe que advierte que la clave para prevenir engaños es "cumplir con protocolos de uso responsable de dispositivos y de usuarios".
Se trata de un fenómeno global: según un estudio de Truecaller, en los Estados Unidos durante 2022, se perdieron u$s40.000 millones a cuenta del phishing (suplantación de identidad a través de mensajes de texto o de llamadas falsas o, incluso, de anuncios en Internet).
En tanto, en América Latina, se registran 110 ataques de este tipo por minuto según datos de Kaspersky, publicados en noviembre pasado.
El modus operandi de los ciberestafadores es el mismo: utilizan la marca o el nombre de una empresa con buena reputación para ganar la confianza de las personas mediante canales no oficiales como mail, redes sociales, teléfonos o mensajes de texto, obtienen datos personales y financieros de sus víctimas.
Agustín Gallo, Chief Growth Officer de Prex, resaltó que "es una una responsabilidad para nosotros, como fintech, educar a los cientos de miles de usuarios en Uruguay, Perú y la Argentina que utilizan nuestra plataforma y a los ciudadanos en general, de modo que todos conozcan las buenas prácticas de ciberseguridad y así se robustezca el ecosistema financiero regional".
1) Si es demasiado bueno, es falso
Sea para invertir u obtener un préstamo, cada usuario debe saber que existen términos y condiciones que cumplir. No hay forma de obtener rendimientos extraordinarios, ni resultar beneficiado en un margen más allá de lo razonable. Si se es contactado para recibir ofertas de este tipo, es mejor dar un paso al costado.
2) Los datos de acceso nunca deben ser compartidos
Bajo ningún concepto debes proporcionar tus datos de acceso a un tercero, no importa lo que diga. En el momento en que se entrega esta información, se proporciona vía libre para que cualquiera tome control de tu dinero y de tu identidad. Esto último es lo más delicado, ya que un ciberdelincuente puede usar tu identidad para cometer ilícitos que comprometan a tu persona.
3) Toma contacto por canales de comunicación oficiales
Las conversaciones con tu banco, fintech o comercio deben ser llevadas adelante por canales oficiales, esto quiere decir, dentro de la app, homebanking, bots certificados de la compañía y redes sociales debidamente certificadas. En dichas conversaciones ninguna entidad solicitará los datos personales de identificación y de acceso.
Si recibes una comunicación, revisa que la dirección remitente sea oficial y legítima. Uno de los métodos más utilizados para robar información sensible a través del correo electrónico es el phishing.
Esta práctica consiste en enviar emails que llevan la firma de entidades financieras de confianza a distintos destinatarios. De esta forma, los hackers buscan acceder a los números y las claves de cuentas bancarias o de tarjetas de crédito de las personas.
4) No repitas las contraseñas de tus cuentas
Un falso sentido práctico hace que millones de personas en el mundo tengan una sola contraseña y con ello se vuelven totalmente vulnerables. Aunque es uno de los consejos sobre los que más insisten los especialistas en ciberseguridad, este es un error muy común, debido a la gran cantidad de servicios que demanda la generación de contraseñas en Internet.
Muchas personas le restan importancia a la calidad de las contraseñas. Sin embargo, no saben que, al utilizar siempre el mismo código, la seguridad de sus cuentas disminuye.
Para minimizar los riesgos de un hackeo, además de no repetir contraseñas, es importante actualizarlas y cambiarlas periódicamente, evitar el uso de palabras y datos personales fáciles de adivinar como, por ejemplo, fechas de nacimiento o nombres de personas, mascotas, familiares o datos vinculados con hobbies como el fútbol, por caso. También es importante recordar que las contraseñas son de uso personal y no deben ser compartidas con nadie.
Un dato ilustrativo, entre las peores contraseñas del 2022, se cuentan estas: "123456", "111111", "nombre apellido1", etc. Estas contraseñas pueden ser descifradas por un ciberdelincuente en un segundo. Ya si hablamos de contraseñas como "col123456", al ciberdelincuente podría llevarle 11 segundos descifrarlas.
En síntesis, la recomendación es no repetir contraseñas, no usar datos personales fáciles de adivinar ni secuencias numéricas o alfabéticas, más la incorporación de caracteres especiales, como puede ser numeral, guion, guion bajo, etc.
5) No te conectes a redes de Wi-Fi públicas
Con el avance de Internet, las redes WiFi públicas se volvieron comunes. Sin embargo, hackear una red de este tipo es mucho más fácil que atacar cualquier otra. En muchos casos, este tipo de conexiones no pide contraseñas y, si lo hace, todos los que tengan acceso a la clave, incluso un hacker que quiera robar información, pueden utilizarla.
Como las redes públicas no suelen estar encriptadas, es importante que, para evitar un hackeo, mantengas tu dispositivo actualizado, uses siempre antivirus y softwares anti malware, programes tu computadora o smartphone para que no se conecte automáticamente a redes públicas y utilices solo las conecciones que son confiables.
6) Evalúa la reputación
Hay que prestar atención a la reputación de la marca: ¿está debidamente regulada?, ¿cuenta con un sitio web respaldado y canales en redes sociales verificados?, ¿tiene presencia en los medios? Tal como hoy en día solemos hacer antes de ir a un restaurante y evaluamos críticas de usuarios y de conocidos, lo mismo debemos hacer al elegir una entidad financiera.
Además, no debe haber "letra chica" y, desde el área de compliance, deben responder ante cualquier inquietud que surja con respecto a la seguridad de la compañía y de sus fondos personales.