¿Qué tipos de estafas hay?
¿Qué son las estafas a través de Internet?
Lo primero vamos a empezar con la definición de qué es una estafa a través de internet. Las estafas a través de Internet son engaños que se llevan a cabo online con el objetivo de robar dinero o información personal de las personas. Estas estafas pueden presentarse de muchas formas, como correos electrónicos fraudulentos, sitios web falsos, anuncios engañosos o incluso a través de redes sociales. Los estafadores suelen utilizar tácticas que generan confianza o urgencia para que las víctimas actúen rápidamente sin pensar. Es importante estar siempre alerta y verificar la información antes de compartir datos personales o realizar transacciones en línea.
Hay varios tipos de estafas en Internet que es importante conocer para protegerte. Aquí te menciono algunas de las más comunes:
1. ¿Qué es el phishing?
El phishing es un tipo de fraude en línea donde los delincuentes buscan robar tu información personal. Lo hacen enviándote correos electrónicos que parecen legítimos, pero que contienen enlaces engañosos. Al hacer clic en estos enlaces, te pueden llevar a formularios falsos donde, sin darte cuenta, podrías ingresar datos sensibles. Luego, los estafadores pueden usar esa información para acceder a tus cuentas en redes sociales, bancos y más.
¿Cómo funciona el phishing?
El phishing es una técnica engañosa que puede ocurrir a través de correos electrónicos, llamadas telefónicas o mensajes de texto. Los estafadores envían mensajes que parecen legítimos y urgentes, instando a las personas a actuar rápidamente. Por ejemplo, un correo electrónico podría parecer que proviene de un banco de confianza y solicitar que actualices la información de tu cuenta para evitar problemas. Debido a la urgencia del mensaje, muchas personas pueden caer en la trampa y compartir información sensible, como contraseñas o números de tarjetas de crédito, que los estafadores pueden usar de manera indebida.
Los atacantes se hacen pasar por entidades legítimas y dirigen a las víctimas a sitios web falsos donde se les convence de que ingresen información confidencial. Esta táctica bien elaborada, combinada con una sensación de urgencia, permite a los estafadores obtener datos valiosos, dejando a las víctimas vulnerables al robo de identidad y a pérdidas financieras.
El remitente:
En un ataque de phishing, el remitente suele imitar a alguien de confianza que el destinatario probablemente conozca. Esto puede incluir a un familiar, un jefe o incluso una figura famosa que supuestamente está regalando algo. A menudo, los mensajes de phishing imitan correos de grandes empresas como PayPal, Amazon o bancos.
El mensaje:
Bajo la apariencia de alguien confiable, el atacante puede pedir al destinatario que haga clic en un enlace, descargue un archivo adjunto o envíe dinero. Cuando la víctima abre el mensaje, a menudo se encuentra con un contenido alarmante que busca asustarla y hacerla actuar sin pensar.
El destino:
Si la víctima cae en la trampa y hace clic en el enlace, es redirigida a un sitio web que imita uno legítimo. Allí, se le pide que inicie sesión con sus credenciales. Si lo hace, el atacante obtiene acceso a esa información y puede robar identidades o cuentas bancarias. Las URL de estos correos de phishing suelen parecerse mucho a las legítimas, lo que puede confundir aún más a la víctima.
¿Cómo reconocer el phishing?
Los intentos de phishing son actividades fraudulentas en las que los estafadores utilizan el correo electrónico o los mensajes de texto con el objetivo de engañar a las personas para que revelen información confidencial como contraseñas, números de cuentas bancarias o números de la Seguridad Social Security. Para reconocer el phishing hay que estar alerta a ciertas señales de alarma.
Normalmente, los mensajes de phishing parecen proceder de fuentes fiables, como bancos, empresas de tarjetas de crédito o plataformas en línea conocidas. A menudo crean una sensación de urgencia, sugiriendo actividad sospechosa o problemas con su cuenta, instándole a actuar con rapidez.
Algunos indicadores comunes del phishing son las comunicaciones inesperadas en las que se solicita información personal o financiera, las direcciones de correo electrónico de remitentes desconocidos, los saludos genéricos, los errores ortográficos y gramaticales y las URL engañosas.
Señal 1: El correo electrónico presenta una oferta que parece demasiado buena para ser cierta.
Puede afirmar que le ha tocado el gordo, que ha ganado un premio extravagante u otras recompensas improbables.
Señal 2: El remitente es reconocible, pero no es alguien con quien interactúe habitualmente.
Señal 3: El mensaje induce al miedo.
Tenga cuidado si el correo electrónico utiliza un lenguaje cargado o alarmante para infundir una sensación de urgencia, instándole a hacer clic y "actuar inmediatamente" para evitar la cancelación de la cuenta. Recuerde que las organizaciones legítimas no solicitan información personal por correo electrónico. Si es algo que le haga "actuar de forma inmediata es preferible contactar de manera telefónica antes de alarmarse y verificar que la información que le han dado es correcta.
Señal 4: El mensaje incluye archivos adjuntos inesperados o extraños.
Estos archivos adjuntos pueden albergar malware, ransomware u otras amenazas en línea.
Señal 5: El mensaje incorpora enlaces que parecen dudosos.
Aunque los indicadores anteriores no levanten sospechas, nunca confíe ciegamente en los hipervínculos incrustados. Pase el cursor sobre el enlace para ver la URL real. Preste especial atención a los errores ortográficos sutiles en la URL de un sitio web aparentemente familiar, ya que es una señal de engaño. Siempre es más seguro introducir manualmente la URL en el navegador en lugar de hacer clic en el enlace incrustado.
Cómo protegerse de los ataques de phishing
El phishing es una amenaza que puede afectar a cualquiera, ya sea en ordenadores de sobremesa, portátiles, tabletas o teléfonos inteligentes. Aunque muchos navegadores de Internet ofrecen herramientas para verificar la seguridad de los enlaces, tu mejor defensa es tu propio juicio. Es importante entrenarte para identificar las señales de phishing y practicar la seguridad informática cada vez que revises tu correo electrónico, navegues en redes sociales o juegues en línea.
Algunas prácticas clave para protegerte contra estos ataques:
1. Desconfía de correos electrónicos desconocidos: No abras mensajes de remitentes que no reconozcas.
2. Cuidado con los enlaces: Nunca hagas clic en un enlace de un correo electrónico a menos que estés seguro de su destino.
3. Verifica la URL: Si te piden información sensible, asegúrate de que la dirección del sitio comience con "HTTPS" en lugar de solo "HTTP". La "S" significa "seguro". Aunque no garantiza que un sitio sea legítimo, la mayoría de los sitios confiables utilizan HTTPS porque es más seguro. Recuerda que los sitios HTTP, incluso los legítimos, pueden ser vulnerables a ataques.
4. Activa la autenticación multifactor: Así, incluso si logran obtener tu contraseña, necesitarán superar pasos adicionales para acceder a tu cuenta.
5. Verifica el certificado digital: Si recibes un correo de una fuente dudosa, es mejor navegar manualmente al sitio web introduciendo la dirección correcta en tu navegador. También puedes pasar el ratón sobre el enlace para comprobar su legitimidad.
6. Investiga si tienes dudas: Si sospechas que un correo electrónico no es auténtico, toma un nombre o algún texto del mensaje y búscalo en un motor de búsqueda para ver si hay reportes de ataques de phishing relacionados.
Recuerda, la precaución es clave para mantenerte seguro en línea.
Diferentes tipos de ataques de phishing
Suplantación de identidad: El spear phishing es una forma dirigida de phishing en la que los atacantes adaptan los mensajes a individuos u organizaciones específicos, utilizando los datos recopilados para hacer el engaño más convincente. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico y similares.
Los hackers rastrean Internet para cotejar esta información con otros conocimientos investigados sobre los colegas del objetivo, junto con los nombres y relaciones profesionales de empleados clave en sus organizaciones. Con todo ello, el phisher elabora un correo electrónico creíble.
Ejemplo: Los estafadores pueden hacerse pasar por ejecutivos para engañar a los empleados y conseguir que autoricen pagos fraudulentos.
Phishing de ballena: se dirige a personas de alto perfil, como ejecutivos, famosos o empresarios de alto nivel. Intenta engañarlos para que revelen información personal o detalles profesionales.
Comprender e identificar las diversas formas de ataques de phishing es crucial para aplicar medidas de protección eficaces, que garanticen la seguridad e integridad de los activos personales y de la organización.
Suplantación de identidad por correo electrónico: Los correos electrónicos de suplantación de identidad, habituales desde los inicios del correo electrónico, consisten en mensajes engañosos que parecen proceder de fuentes fiables (por ejemplo, bancos o tiendas en línea) e instan a los destinatarios a hacer clic en enlaces o descargar archivos adjuntos.
Ejemplos:
- Correo electrónico comercial comprometido (BEC): Un ataque de este tipo se dirige a alguien del departamento financiero de una organización, a menudo el director financiero, e intenta engañarle para que envíe grandes sumas de dinero. Los atacantes suelen utilizar tácticas de ingeniería social para convencer al destinatario de que el envío del dinero es urgente y necesario.
- Clon phishing: En este ataque, los delincuentes hacen una copia -o clon- de correos electrónicos legítimos previamente entregados que contienen un enlace o un archivo adjunto. A continuación, el phisher sustituye los enlaces o los archivos adjuntos por sustitutos maliciosos disfrazados de verdaderos. Los usuarios desprevenidos hacen clic en el enlace o abren el archivo adjunto, lo que a menudo permite que sus sistemas sean requisados. A continuación, el phisher puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.
- Estafas 419/Nigerianas: El correo electrónico de phishing de alguien que dice ser un príncipe nigeriano es una de las estafas más antiguas de Internet. Este "príncipe" o bien te ofrece dinero, pero te dice que primero tienes que enviarle una pequeña cantidad para reclamarlo, o bien te dice que tiene problemas y necesita fondos para resolverlos. El número "419" está asociado a esta estafa. Hace referencia a la sección del Código Penal nigeriano que trata del fraude, los cargos y las penas para los infractores.
Vishing (suplantación de identidad por voz): Los atacantes se hacen pasar por figuras de autoridad (p. ej., funcionarios bancarios, fuerzas del orden) por teléfono para asustar a las personas y conseguir que compartan información confidencial o transfieran fondos.
Smishing (Suplantación de identidad por SMS): Similar al vishing, pero realizado a través de SMS, smishing envía mensajes fraudulentos instando a los destinatarios a hacer clic en enlaces maliciosos o a compartir datos personales.
Catphishing: Una táctica engañosa en la que los atacantes crean falsos personajes en línea para atraer a las personas a relaciones románticas con fines de explotación monetaria o acceso a información personal.
Fraude en e-commerce: El fraude en las compras online puede dividirse en varias categorías, desde el robo de identidades a planes de incentivos de tarjetas de crédito fraudulentos. Estos tipos de fraudes de e-commerce pueden afectar a cualquiera, pero con información y las acciones adecuadas, también se pueden evitar.
Fraude por triangulación: Se trata de un fraude muy difícil de detectar. Un estafador crea una tienda virtual falsa con un mercado online en el que vende productos a precios que parecen demasiado buenos para ser ciertos. Y, efectivamente, los precios son demasiado buenos para ser ciertos, pero cuando el cliente compra algo, el estafador usa una tarjeta de crédito robada para comprar el artículo en el sitio web de otro vendedor. El cliente acaba con artículos robados y el estafador escapa con el dinero recibido.
Pharming: El pharming es una versión más sofisticada del phishing y, por desgracia, es más difícil de detectar. Consiste en modificar direcciones DNS para que un sitio web tenga exactamente el mismo aspecto que el original y tenga incluso una URL creíble. De esta forma, el hacker puede acceder a datos sensibles.
Fraude con plan de incentivos de tarjeta de crédito: También denominado fraude de fidelidad, fraude de recompensas o fraude de puntos, el fraude de puntos de recompensa de tarjeta de crédito explota los programas de fidelidad para obtener ganancias personales. Con los programas de recompensas, los clientes pueden ahorrar con sus gastos. Cuanto más gastas, más obtienes para tus próximos objetivos. Los estafadores lo aprovechan pidiendo datos sensibles a cambio de ciertas recompensas que no existen. Son más efectivos porque la víctima ya confía en el programa de recompensas.
Estafas con cebo de clicks (Clickbait): “¡Menuda suerte! ¡Así es, ha sido el afortunado ganador de un viaje para usted y su familia a las Bahamas! Haz clic en este enlace para confirmar el premio.” Este tipo de cebo de clicks hace mucho tiempo que se viene utilizando, pero sigue resultando tentador y efectivo. Con este bulo, el estafador se gana la confianza del usuario para obtener sus datos personales.
La nueva estafa por Bizum con la que debes tener cuidado: consiste en que los ciberdelincuentes se hacen pasar por compradores interesados en algún artículo que podemos subir a plataformas online como Wallapop o Vinted como vendedores particulares. El estafador muestra su deseo de comprar el producto y le dice al comprador que le pagará mediante Bizum. Sin embargo, en vez de efectuar el pago, manda una solicitud de envío de dinero. Si el vendedor no lee el mensaje detenidamente y acepta, está autorizando a realizar una transferencia por la cuantía indicada al supuesto comprador. Esta estafa es conocida como Bizum inverso.
¿Qué hacer en caso de Bizum inverso por estafa?
Si has pulsado instintivamente y aceptado el envío de dinero pensando que eras tú el que iba a recibirlo, debes ponerte en contacto rápidamente con tu entidad bancaria y contarles lo sucedido. Bizum efectúa las operaciones de manera inmediata, por lo que resulta complejo recuperar el dinero en muchos casos.
A continuación, no olvides informar a la plataforma en la que el ciberdelincuente se ha puesto en contacto contigo para que sepan qué es lo que ha pasado. Reporta toda la información sobre los datos de su perfil. Con ello evitarás que siga estafando a otra gente. En último caso, también puedes presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
Estafas de inversión: Prometen altos retornos de inversión con poco riesgo. A menudo, son esquemas Ponzi que solo benefician a los estafadores.
Estafas de soporte técnico: Te contactan haciéndose pasar por técnicos de empresas conocidas, afirmando que hay un problema con tu computadora y pidiendo acceso remoto o pago por servicios.
Estafas de lotería o premios: Te informan que has ganado un premio, pero necesitas pagar una tarifa para reclamarlo.
Prevención de fraudes en las compras online
Es importante distinguir entre las operaciones correctas y las fraudulentas en tu negocio online. Lo que tienes que hacer es lo siguiente:
- Identificar datos del comprador. Para las herramientas de prevención de fraudes es más fácil reconocer los patrones comunes si dispone de más datos. Identifica los datos del comprador y compártelos para evitar pedidos fraudulentos. Vas a necesitar permiso para compartir datos de los clientes y deberás mantener la información anónima si no quieres violar la normativa sobre protección de datos como la RGPD.
- Aprovechar la tecnología. Los avances tecnológicos allanan el camino de los estafadores, pero también permiten rastrearles más fácilmente y adoptar medidas de precaución. Por ejemplo, la inteligencia por autenticación biométrica es una defensa muy potente contra varias prácticas fraudulentas.
- Revisar los pedidos sospechosos de forma manual. Aunque la tecnología puede ser de gran ayuda, si recibes algún pedido que te parece sospechoso, lo mejor será que lo compruebes manualmente. Por ejemplo, si recibes un pedido de bajo valor desde una dirección IP poco habitual, puede que te interese ponerte en contacto con el cliente para verificar el pedido. Los estafadores a menudo realizan pedidos de poco valor para probar si una tarjeta de crédito funciona.
- Limitar la cantidad de pedidos. Una práctica habitual de los estafadores es hacer pedidos de grandes cantidades. Analiza las ventas “normales” y configura un bloqueo automático de los pedidos que estén muy por encima del promedio de ventas diario habitual. Si ves que se ha bloqueado un pedido, puedes hablar con tu cliente directamente para comprobar que es legítimo.
- Hacer una lista de bloqueos. Los estafadores, aunque los hayan pillado en alguna ocasión, puede que sean reincidentes. Podrían repetir sus delitos, de modo que cuando los hayas pillado, inclúyelos en una lista. Deberás tener mucho cuidado con esas listas. Es posible que algún cliente de verdad no se haya dado cuenta de que le han robado la tarjeta. Podrías bloquearles solo por usar su tarjeta y no lo entenderían, a menos que se lo explicases. La nueva estafa por Bizum con la que debes tener cuidado