Internet es un campo minado. Cada vez que el usuario ingresa al buscador, a las redes sociales o al email puede ser víctima de una estafa. Otro aspecto preocupante es que ya no existen sitios más seguros que otros: los ciberdelincuentes también están al acecho en las bigtech, cuyos servicios son usados cotidianamente por miles de millones de personas.
Estafas en bigtech: cuáles son los mecanismos más comunes
Miguel Ángel Mendoza, Investigador de Seguridad Informática de ESET Latinoamérica, señala a iProUP que las amenazas dentro de Google, Instagram, Twitter y otras aplicaciones son similares. Las más comunes pueden resumirse en cinco:
1. Phishing
El objetivo es engañar al usuario para robar información personal y credenciales de acceso. Un email puede incluir un enlace falso para el restablecimiento de la contraseña. Una vez que hace clic, es dirigido a una página falsa de inicio de sesión, que recopilará sus credenciales y permitirá a los estafadores acceder a su cuenta.
Las estrategias más usuales evocan un sentido de urgencia: correos que afirman que un tercero inició sesión en su cuenta o que el usuario está en problemas por violar derechos de autor y que debe aclarar la situación. Para resolverlo, deberá ingresar a un enlace y completar un formulario.
Dario Opezzo, Regional Sales Manager at Palo Alto Networks, señala a iProUP que los ciberdelincuentes pueden utilizar algoritmos de aprendizaje para enviar emails de phishing personalizados y creíbles, más difíciles de detectar y bloquear por los sistemas de seguridad.
Desde Kaspersky advierten a iProUP que los contenidos que se descargan en el celular son otra puerta de entrada. En el último año, la compañía bloqueó mensajes falsos en avisos de estrenos de películas o juegos populares cuyo objetivo era robar credenciales, datos personales, tarjetas de crédito y contraseñas bancarias.
2. Ataque de cuentas clonadas
Una vez que los atacantes clonaron una cuenta, simularán ser esa persona y pedirán plata a sus contactos, haciéndoles creer que tiene dificultades económicas.
"Con un poco de ingeniería social y suerte, muchas víctimas caen y pierden su dinero creyendo que están ayudando a un amigo o familiar", explica Mendoza.
3. Estafa de la cuenta verificada
La tilde de verificación azul es una oportunidad muy codiciada por usuarios con muchos seguidores, ya que les permite monetizar contenido y conseguir más acuerdos con marcas.
Ahí es donde los estafadores pueden ponerse en contacto a través de un mensaje directo ofreciendo la verificación a cambio de una tarifa.
4. Estafas románticas
Además de las apps de citas, estos engaños ocurren en redes sociales: el estafador se gana la confianza de la víctima y puede solicitarle dinero usando cualquier excusa.
5. Vendedores dudosos
En buscadores y redes existen anuncios que ofrecen productos de alta calidad a precios bajísimos.
Cada vez más links fraudulentos se esconden en los resultados patrocinados de Google
"Si se arriesga a comprar, es posible que no lo reciba. Es recomendable buscar opiniones en Google, pero habrá que estar atento a las reseñas falsas, que suelen estar plagadas de errores ortográficos y tratarán de contradecir las críticas negativas", suma Mendoza.
6. Scareware
Desde Kaspersky suman los casos de Scareware, programa malicioso que engaña a los usuarios de computadoras para que visiten sitios web infectados con virus.
Pueden aparecer como ventanas emergentes, con advertencias legítimas de empresas de antivirus que afirman que el equipo está infectado e invitarán a hacer clic en los botones que, en teoría, eliminan todas las amenazas. Suelen incluir:
- Logotipos de antivirus legítimos
- Captura de pantalla de archivos infectados
- Barra de progreso que indica que se está analizando la PC
- Imágenes parpadeantes en rojo
- Letras mayúsculas y signos de exclamación para advertir que hay que actuar en el acto
Movidos por el temor, los usuarios compran software inútil, descargan virus o visitan sitios infectados.
7. Links patrocinados en Google
Los enlaces patrocinados en Google son los más visibles: están posicionados entre los primeros cuatro lugares en cualquier búsqueda.
Una práctica cada vez más habitual son los falsos anuncios de un organismo público, banco o tienda online, pero que redirigen a sitios fraudulentos.
Los mensajes haciéndose pasar por una organización (phising) es uno de los ataques más comunes
Estafas en bigtech: por qué no detienen las amenazas
Según Mendoza, las tecnológicas invierten en medidas y prácticas de seguridad, aunque las técnicas de hacking resultan igualmente efectivas porque operan de la misma forma en la que lo hace la tecnología.
Por ejemplo, existen mecanismos para aumentar las probabilidades de que un sitio web sea ubicado entre los primeros resultados de búsqueda, pero también se utilizan para el posicionamiento orgánico o SEO.
"Una de esas técnicas consiste en utilizar dominios caducados que mantienen su antigua autoridad. Es decir, han sido frecuentemente referenciados por sitios importantes, como medios, entidades de gobierno o instituciones educativas, formando una red privada de blogs (PBN)", señala Mendoza.
Dario Opezzo, regional Sales Manager de Palo Alto, remarca a iProUP que el volumen de información crece exponencialmente, al igual que las amenazas que se generan. Los creadores de malware están en constante cambio y ayudan a los delincuentes a eludir defensas estáticas como firewalls y sistemas de detección perimetral.
Los programas maliciosos impulsados por inteligencia artificial pueden permanecer dentro de un sistema, recopilando datos y observando el comportamiento del usuario hasta que esté listo para lanzar otra fase de un ataque o enviar la información que recolectó con un riesgo de detección relativamente bajo.
"La IA puede utilizarse para identificar patrones que revelen debilidades en el software o programas de seguridad, permitiendo explotar esas fallas recién descubiertas", añade.
Los atacantes también aprovechan la inteligencia artificial para mejorar su efectividad
Emiliano Piscitelli, fundador y CEO de BeyGoo, asegura a iProUP que Instagram, Facebook y Twitter son las tres principales plataformas usadas para suplantación de identidad. Si bien estas compañías podrían mejorar su seguridad, poner más límites implicaría atentar contra su principal sustento: los usuarios.
"En BeyGoo hacemos precisamente eso: detectar suplantaciones en Instagram, Facebook o Twitter. Las bigtech no lo hacen porque cuanto más rápido se dé alta un usuario, mejor".
Estafas en bigtech: cómo prevenirlas
Mendoza asegura que existe un conjunto de buenas prácticas para reducir el riesgo de ser estafados, aunque la primera y fundamental es que los dispositivos y conexión cuenten con mecanismos de protección necesarios. Además, recomienda las siguientes medidas:
- Verificar si la conexión está cifrada mediante HTTPS (representada como un candado verde en la barra de direcciones) y el sitio posee certificado de seguridad
- Revisar que los perfiles en redes sociales que dicen ser de empresas o figuras de autoridad son cuentas oficiales
- Cancelar cualquier descarga de archivos automática
- Evitar bajar, abrir o ejecutar archivos provenientes de fuentes no confiables
- Recordar que ninguna institución solicita información sensible a través la web, email o redes sociales
- Tener cuidado con los mensajes de email, WhatsApp o redes sociales y que incluyan enlaces acortados
- Evitar responder aquellos mensajes o publicaciones sobre concursos, premios o peticiones de ayuda
- Utilizar la función de navegación privada cada vez que sea necesario
- Evitar compartir información sensible (dirección, teléfono, etc.) en redes sociales y sitios dudosos
- Ingresar a sitios web escribiendo la URL en la barra de direcciones y no mediante los resultados de Google
- Instalar una solución de seguridad integral provista por una organización con alta reputación y mantenerla actualizada
- Mantener actualizado el sistema operativo, así como también todas las demás aplicaciones instaladas
"En la mayoría de los casos existe un componente de error humano que contribuye al éxito de la estafa", señala Opezzo, quien recomienda a los usuarios educarse e implementar buenas prácticas para evitar los ataques cada vez más sofisticados.