Cómo evitar fraudes en Internet y no convertirse en víctima - Parte 1

17/9/2024 | Jindřich Zechmeister

En Internet se corre el riesgo de sufrir fraudes en cualquier momento; el dinero es lo primero que normalmente buscan este tipo de atacantes, por lo que no es posible fiarse de nadie. Este artículo le ayudará a detectar diversas amenazas, comprenderlas, y navegar a través de ellas. Aquí le mostraremos cómo mantenerse a salvo en Internet.

Tipos más comunes de fraudes en internet

En internet estás amenazado principalmente por dos tipos de riesgos: phishing (suplantación de identidad) y fraudes en las redes sociales. Vamos a examinarlos más de cerca:

El phishing es un fraude donde el atacante intenta engañar a la víctima para obtener datos sensibles. Tiene muchas formas, pero un objetivo común: obtener tus credenciales de acceso o dinero. Muy a menudo va acompañado de chantaje hacia la víctima, ya que esto proporciona un ingreso continuo al atacante.

La forma de phishing es sofisticada para que la víctima crea en ella. Los atacantes crean versiones falsas de páginas de inicio de sesión que son indistinguibles del original. Una vez que ingresas tus datos allí, puedes contar con que están comprometidos. Los enlaces a sitios fraudulentos se propagan en forma de correos falsos, mensajes o enlaces que imitan a instituciones y servicios conocidos. Hoy en día, probablemente todos recibimos regularmente mensajes de texto falsos que imitan a empresas de mensajería como DHL o UPS. Es fácil caer en la trampa y hacer clic en un enlace por error, especialmente cuando estamos esperando un paquete. Si algo parece extraño o sospechoso al iniciar sesión, es mejor abandonar la página.

Los fraudes en redes sociales y sitios de citas consisten en perfiles falsos, estafas del tipo «scam de romance» o concursos falsos. Generalmente, el objetivo es ganar la confianza de la otra parte y luego estafarla con dinero. No hagas clic en enlaces que recibas en el chat, especialmente de contactos desconocidos.

Además de los riesgos mencionados anteriormente, hay otras metodologías de fraude comunes:

  • Tiendas en línea falsas: Existen tiendas en línea sospechosas que ofrecen precios irrealmente bajos, pero nunca entregan los productos pedidos. En los mercados de segunda mano, hay anuncios que solicitan dinero por adelantado y luego no entregan nada.
  • Ofertas de trabajo fraudulentas: Ofertas de trabajo desde casa que prometen ingresos irrealmente altos, pero buscan explotar datos personales. Esto es algo que deberías ser capaz de detectar fácilmente.
  • Ransomware y chantaje: El atacante cifra tus datos y luego solicita un rescate para descifrarlos; o te chantajea mediante un scam de sextorsión.
  • Propagación de malware: Los atacantes te ofrecen software malicioso que puede estar disfrazado como un archivo o aplicación legítima. A menudo, el malware se disfraza de antivirus o alguna herramienta que necesitas urgentemente.

Cómo reconocer a los estafadores y actividades fraudulentas

La defensa primaria contra los riesgos mencionados es el sentido común. Basta con considerar cuán probable es que hayas ganado en una lotería (extranjera) o lo ilógico que es que alguien en Nigeria quiera enviarte millones de dólares. Tampoco es muy probable que un contacto anónimo que te escribe en Facebook sea el amor de tu vida. En internet es esencial tener un enfoque crítico y una dosis saludable de escepticismo para resistir muchas amenazas. Riquezas milagrosas, rejuvenecimiento, regalos caros gratuitos... Todo son diferentes formas de fraude.

«Recuerda la regla de oro: cualquier persona que parece tener buenas intenciones contigo (o te ofrece algo gratis) es sospechosa.»

Autor del artículo

Los mensajes fraudulentos a menudo contienen un alto nivel de urgencia para que estés estresado y no tomes decisiones meditando. Sé cauteloso en tales situaciones y siempre verifica la fuente. Ofertas que terminan en minutos, pero principalmente correos electrónicos que afirman que tu cuenta está a punto de expirar, que debes hacer clic en algo de inmediato, renovar algo o incluso cambiar tu contraseña, son típicos de phishing. Siempre visita las páginas de inicio de sesión de los servicios directamente ingresando su dirección, no haciendo clic en ningún enlace. Considera cualquier enlace que lleve a una página de inicio de sesión como sospechoso.

Descripción de la imagen
Descripción de la imagen
Ejemplo de mensajes de phishing que pueden ser difíciles de distinguir del original.

El scam de sextorsión es el más coercitivo y personal. El atacante te envía un correo electrónico aparentemente desde tu propia dirección de correo electrónico, lo que pretende demostrar que ha accedido a tu computadora o correo. En realidad, es solo un nombre del remitente falsificado, que debería ser solucionado por DMARC (una tarea del proveedor de correos electrónicos). El contenido de los mensajes de sextorsión incluye una notificación de que el atacante ha grabado a la víctima tocandose y pretende chantajearlo con la publicación de este material si no le paga. Esto, por supuesto, es mentira y un intento de comenzar a chantajearte. Una vez que reaccionas y pagas algo, el chantaje realmente comienza y nunca termina.

Otra variante del ataque, que a menudo se dirige a organizaciones, implica que el atacante penetre en la red y cifre los datos de la víctima. Por el acceso nuevamente a esos datos, el atacante, por supuesto, quiere que se le pague. Nuevamente, en este caso, no debes pagar a los extorsionadores. Mejor contacta a expertos en IT que puedan tener herramientas para descifrar tus datos o restaurarlos de una copia de seguridad.

«Si alguien intenta chantajearte, nunca le pagues nada. Empezará a chantajearte y a quitarte dinero de forma continua.»

Autor del artículo

En España hubo varias oleadas de phishing «ejecutivo» y envío de facturas falsas. Para empresas e individuos esto fue inesperado, pero la conexión con el ejecutor fue tan provocativa que muchas personas prestaron atención. Las facturas falsas confían en que nadie las comprobará y simplemente se pagarán. Los códigos QR asociados con pagos y facturas también son un vector de ataque popular. Basta con cambiar el código QR en la factura por uno falso y el dinero irá directamente a la cuenta del atacante. Por lo tanto, es recomendable enviar las facturas como firmadas electrónicamente (PDF) - la firma garantiza su inmutabilidad.

En internet hay muchas páginas fraudulentas que se utilizan para obtener credenciales de acceso, como mencioné al principio. Así que nunca hagas clic en enlaces en mensajes no solicitados o sospechosos. Si estás en una página de inicio de sesión de un banco o servicio, te recomendamos prestar atención al dominio en la barra de direcciones (puede que no sea auténtico) y al certificado TLS que utiliza el sitio web. Cualquier institución seria utiliza un certificado con datos verificados que puedes ver. Los atacantes, por el contrario, utilizan certificados anónimos, ya que no podrían obtener otros. Puedes encontrar información detallada del certificado en la consola del navegador al presionar F12 (pestaña Seguridad).

Dos métodos para ver información del certificado
Dos métodos para ver información del certificado

En la segunda parte del artículo, nos centraremos en cómo protegerse prácticamente contra los fraudes en internet.

Artículo anterior
El siguiente artículo
Ing. Jindřich Zechmeister
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz