Según una reciente encuesta de Trend Micro, el 88% de las empresas aceleró sus migraciones a la nube el año pasado en respuesta a la pandemia. Los planes de transformación digital se adelantaron y los estafadores se aprovecharon de este auge del comercio electrónico y de los pagos online.
Prueba de ello es que solo en el primer semestre de 2020, los delitos informáticos aumentaron un 59%, según la Policía Nacional. Con el objetivo de prevenirlos, la Organización de Consumidores y Usuarios (OCU) ha recomendado "mucha prudencia". Una advertencia a la que se suma José Carlos Manzano, director de prevención del fraude de Banco Sabadell en el webinar ‘Ciberseguridad contra el fraude’, y a la que añade que el riesgo es siempre el mismo: “El ciberdelincuente se aprovecha de la ingenuidad y de la buena fe de sus víctimas”. Además, con la situación derivada de la pandemia también han aparecido conceptos como el de las estafas mutantes, que son aquellas en las que el ciberdelincuente ha adaptado sus fraudes del entorno físico al online.
Qué es la ingeniería social y cómo detectar esta práctica fraudulenta
Actualmente, una de las técnicas más extendidas para cometer fraude en los canales digitales es la ingeniería social. Esta consiste en obtener información confidencial a través de la manipulación de usuarios legítimos, con la que el ciberdelincuente puede obtener acceso o permisos para realizar operaciones monetarias sin que el damnificado tenga conocimiento de ello y suele hacerse a través de una llamada telefónica. “Los defraudadores son profesionales, hacen cantidad de llamadas y saben, a medida que la conversación avanza, lo que les es más útil para ganar la confianza de los usuarios”, señala Manzano.
El ejemplo arquetípico y con más volumetría son los casos en los que el ciberdelincuente suplanta la identidad de una gran compañía de software. El usuario recibe la llamada de un técnico que le indica que hay una falta de seguridad y que para solventarla es necesario instalar una herramienta de acceso remoto como TeamViewer. Lo que el usuario no sabe es que está dando acceso a su equipo al ciberdelincuente.
Otra práctica peligrosa son los engaños en inversiones en criptomonedas. El usuario es contactado y persuadido para realizar una inversión. Al principio, se suceden las inversiones de pequeñas cantidades con las que recibe rentabilidad y, cuando realiza una inversión de un importe mayor, no solo pierde toda su inversión sino que también desaparece su persona de contacto. “Los ciberdelincuentes lo tienen tan estudiado que, cuando se han dado estos casos y hemos contactado con el cliente, este nos ha dicho que no se fiaba de nosotros y que ya les habían advertido los estafadores de que les haríamos una llamada y que no debían confiar”, comenta el director de prevención del fraude de Banco Sabadell.
La segunda de las técnicas que está teniendo cada vez más relevancia es aquella en la que el ciberdelincuente hace un duplicado de la tarjeta SIM del teléfono móvil, lo que se denomina sim swag. El smartphone se ha convertido en una pieza fundamental para autorizar las compras o las transferencias y los pagos online y actúa como factor adicional de seguridad. “Necesitan bastante información, pero somos nosotros los que se la damos en numerosas ocasiones al hablar por teléfono con ellos o al introducir nuestros datos en páginas fraudulentas”, señala Raúl Vázquez, director de Control de Riesgo Tecnológico y del Dato de Banco Sabadell. El ciberdelincuente, con toda esta información recopilada de diferentes formas, acude a la compañía de telecomunicaciones del usuario y solicita un duplicado de la tarjeta SIM. Al haber hecho el duplicado, el anterior teléfono deja de tener servicio de red, por lo que la pérdida de conexión es un buen indicador de que se está sufriendo un ataque.
Auge de ciberdelitos con la pandemia
La crisis derivada de la COVID-19 ha trasladado las oficinas a los hogares de una manera muy rápida exponiendo a los trabajadores y a las empresas a la ciberdelincuencia. Según comenta Xavier Gracia, Socio de Risk Advisory/Ciberseguridad de Deloitte, en el Podcast de Banco Sabadell, no cabe duda de que “el teletrabajo ha abierto un mundo de posibilidades para los ciberataques”.
Como consecuencia de ello, la ciberseguridad se ha convertido en una de las prioridades de las empresas privadas, pero también del sector público. “Tradicionalmente el sector de defensa ha tenido un alto nivel de ciberseguridad, así como las compañías reguladas o de IT. Hoy, el sector de la salud y el del turismo también son sensibles a los ciberataques y están haciendo una apuesta importante, ya que estaban un poco por detrás”, señala Gracia. “En concreto, los bancos van incorporando medidas cada vez más complejas que hacen que sea mucho más difícil cometer un ataque”, añade.
Puede interesarte: ¿Están las empresas españolas preparadas para la ciberprotección?
Cuatro reglas de oro contra la ciberdelincuencia
Aunque pueda parecer obvio, para Manzano aplicar el sentido común es el mejor de los métodos para luchar contra los fraudes online. Sin embargo, es cierto que en situaciones de estrés se pueden cometer actos imprudentes motivados por los nervios o la angustia. Por ello, existen cuatro reglas de oro para prevenir la ciberdelincuencia.
La primera de ellas es no facilitar nunca las claves ni la contraseña de la banca online, “la entidad no las necesita y no las va a solicitar nunca”, apunta. También es conveniente revisar los e-mails que provienen del banco y, en caso de que la entidad informe de un movimiento no autorizado, ponerse en contacto con esta inmediatamente.
El director de prevención del fraude de Banco Sabadell también recomienda revisar siempre las notificaciones que se reciben para autorizar compras online, así como las confirmaciones de operaciones realizadas, ya que en esta fase del trámite siempre aparece el destino, la cuenta o el comercio y el importe y se puede identificar si hay algún dato que no corresponde a la operación que se está realizando. Por último, en la pantalla de la firma o de la confirmación con código vía SMS, hay que revisar siempre que el importe y el destino son los que deben ser.