“Una vez que tus datos personales fueron robados, ya sea en una brecha masiva o a través de uno de los distintos métodos existentes, es probable que estos datos sean vendidos o cedidos a otros para su uso en diversos esquemas de fraude. Esto podría ir desde compras ilegales hasta la toma de control de cuentas (ATO), fraude de cuentas nuevas o esquemas de phishing diseñados para obtener información aún más sensible. En algunos casos, se mezclan datos reales con otros generados por máquinas para crear identidades sintéticas más difíciles de bloquear por los filtros antifraude”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Seguridad Informática de ESET Latinoamérica.

¿Qué datos están en juego o en riesgo?

• Nombres y direcciones
• Números de tarjetas de crédito/pago (débito)
• Números de documentos de identidad oficiales
• Números de cuentas bancarias
• Datos de credenciales de servicios de salud
• Pasaporte o carnet (licencia) de conducir
• Datos de acceso a cuentas personales y de empresa en Internet

El fraude de identidad se reduce a los datos, por lo que es importante comprender cómo los ciberdelincuentes consiguen la información. Si no están robando grandes cantidades de datos de terceras organizaciones, los principales vectores de ataques dirigidos contra individuos son:

• Phishing/smishing/vishing: los ataques clásicos de ingeniería social pueden producirse a través de varios canales, desde el tradicional phishing por correo electrónico hasta mensajes de texto (smishing) e incluso llamadas telefónicas (vishing). El autor de la amenaza suele utilizar técnicas conocidas y probadas para engañar y conseguir que se cumplan sus órdenes, que suelen ser hacer clic en un enlace malicioso, rellenar datos personales o abrir un archivo adjunto malicioso. Entre ellas se incluyen el uso de marcas oficiales para hacerse pasar por una empresa o institución conocida, y trucos como la suplantación del identificador de llamadas o del dominio.
• Robo digital: Para hacerse con los datos de su tarjeta, los autores de la amenaza pueden insertar un código malicioso de skimming en las páginas web de un sitio popular de comercio electrónico o similar. Todo el proceso es completamente invisible para la víctima.
• Wi-Fi públicas: las redes Wi-Fi públicas no seguras pueden facilitar los ataques man-in-the-middle en los que se intercepta información personal. Los hackers también pueden instalar puntos de acceso fraudulentos para recopilar datos y redirigir a las víctimas a sitios maliciosos.
• Malware: el malware Infostealer es un problema creciente tanto para usuarios corporativos como para consumidores. Puede instalarse involuntariamente a través de diversos mecanismos, como mensajes de phishing, descargas no solicitadas de sitios web infectados, juegos pirateados, anuncios de Google o incluso aplicaciones de aspecto legítimo, como falsos programas de reuniones. La mayoría de los infostealers cosechan archivos, flujos de datos, detalles de tarjetas, criptoactivos, contraseñas y pulsaciones de teclas.
• Publicidad maliciosa: Los anuncios maliciosos pueden programarse para robar información, a veces incluso sin exigir la interacción del usuario.
• Sitios web maliciosos: Los sitios de phishing pueden falsificarse para que parezcan auténticos, hasta el dominio. En el caso de los drive-by-downloads, basta con que el usuario visite una página maliciosa para que se inicie la instalación encubierta del malware. A menudo, los sitios web maliciosos se colocan en las primeras posiciones de los rankings de búsqueda para tener una mayor exposición, gracias a técnicas de SEO.
• Aplicaciones maliciosas: Los programas maliciosos, incluidos los troyanos bancarios y los ladrones de información, pueden camuflarse como aplicaciones legítimas, con un riesgo especialmente alto fuera de las tiendas de aplicaciones oficiales como Google Play.
• Pérdida o robo de dispositivos: Si pierdes tu dispositivo y no cuentas con la protección adecuada, los cibercriminales podrían asaltarlo en busca de datos personales y financieros.

Desde ESET se comparten algunas buenas prácticas para aplicar en conjunto y evitar así que los delincuentes accedan a la información personal y financiera

• Contraseñas fuertes y únicas: Elegir una contraseña distinta para cada sitio, aplicación o cuenta, y guardarlas en un gestor de contraseñas. Activar la autenticación de doble factor (2FA) en las cuentas, de esta forma, aunque alguien obtenga la contraseña, no podrá utilizarla. La mejor opción es una aplicación de autenticación o una llave de seguridad.
• Instalar software de seguridad: Esto escaneará y bloqueará aplicaciones y descargas maliciosas, detectará y bloqueará sitios web de phishing y alertará sobre actividades sospechosas, entre otras.
• Ser escépticos/as: Prestar atención a las señales de advertencia del phishing: un mensaje no solicitado que insta a actuar con rapidez y que contiene enlaces o archivos adjuntos. Algunas excusas que usan para engañar son supuestos sorteos de premios con límite de tiempo o advertencias de multas si no se responde cuanto antes.
• Utilizar únicamente aplicaciones de sitios legítimos: App Store de Apple y a Google Play, por ejemplo, para disminuir la probabilidad de descargar aplicaciones maliciosas. Comprobar las reseñas y los permisos antes de descargarlas.
• Desconfiar de las redes Wi-Fi públicas: Mantenerse alejado de las redes Wi-Fi públicas o, si se debe usar una no ingresar a cuentas sensibles mientras se esté conectado. En cualquier caso, utilizar una VPN.

Frente una filtración de información hay algunas medidas importantes a tomar de forma rápida. Como primer paso hay que comunicarlo al banco, para bloquear las tarjetas (se puede hacer a través de la mayoría de las aplicaciones bancarias), denunciar el fraude y solicitar tarjetas de sustitución. También, hacer la denuncia frente a las autoridades, principalmente la policía, y las autoridades o entidades que sean pertinentes: por ejemplo si robaron la licencia de conducir la denuncia se realiza frente al organismo que la emitió. Además, cambiar las claves de acceso y, en caso de no haberlo hecho antes, activar el doble factor de autenticación (2FA).

“El fraude de identidad sigue siendo una amenaza porque es relativamente fácil obtener beneficios en el ambiente o mundo cibercriminal. Al reducir las vías que pueden utilizar para extraer la información personal, podemos incomodar a nuestros adversarios y mantener nuestras propias vidas digitales a salvo y seguras”, concluye Gutiérrez Amaya de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

“Las estafas de despido son un tipo de ataque de phishing diseñado para que sus víctimas compartan su información personal y financiera, o alentarlas a hacer clic mediante un enlace malicioso que podría desencadenar en la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes, y la excusa puntual es un aviso de despedido”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El engaño puede llegar en forma de un correo electrónico de RR.HH. o de una tercera parte autorizada ajena a la empresa. El correo puede mencionar que sus servicios ya no son necesarios, o pretender incluir detalles sobre colegas que son difíciles de resistirse a leer. El objetivo final es persuadir a la víctima a que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Una vez que haga clic o abra el archivo adjunto, es posible descubrir que se activa una instalación encubierta de malware o se pide que se introduzcan datos de acceso en una página de phishing falsa. Con los datos de acceso al trabajo, los cibercriminales podrían secuestrar el correo electrónico u otras cuentas para acceder a datos y/o redes corporativas confidenciales con fines de robo y extorsión. En el caso que se reutilicen esos nombres de usuario en distintas cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también otros accesos.

“Las estafas de cancelación son eficaces porque explotan la credulidad de las personas, creando una sensación de miedo en la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta. No es casualidad que el phishing siga siendo una de las tres principales tácticas de acceso inicial para los autores de ransomware y que haya contribuido a una cuarta parte (25%) de los ciberincidentes con motivación financiera de los últimos dos años”, agrega Gutierrez Amaya de ESET.

Distintas versiones de este tipo de estafa

• Un correo electrónico que se hace pasar por el Servicio de Tribunales y Juzgados del Reino Unido y que supuestamente contiene un enlace a un documento de despido. Al hacer clic, se carga un sitio web falso con el logotipo de Microsoft diseñado para persuadir a la víctima de que lo abra en un dispositivo Windows. Se activa la descarga del troyano bancario Casbaneiro (también conocido como Metamorfo).
• Un correo electrónico que supuestamente procede del departamento de Recursos Humanos de la víctima y que dice contener una lista de despidos y detalles sobre nuevos puestos. Al abrir el falso PDF se activa un formulario trucado de inicio de sesión de DocuSign en el que se solicita a la víctima que introduzca su dirección de correo electrónico y contraseña para acceder.

Hay algunas señales que nos pueden prevenir

Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia o alerta que deberían llamar nuestra atención si se recibe este tipo de correos en la bandeja de entrada:

• Una dirección de remitente inusual que no coincide con el declarado. Puede ser algo completamente diferente, o podría ser un intento de imitar el dominio de la empresa suplantada, utilizando errores tipográficos y otros caracteres (por ejemplo, m1crosoft.com, @microsfot.com)
• Un saludo genérico (por ejemplo, “estimado empleado/usuario”), que no es el tono que adoptaría una carta de despido legítima.
• Enlaces incrustados en el correo electrónico o archivos adjuntos para abrir. Suelen ser un signo revelador de un intento de phishing. Si se pasa el pulsor por encima del enlace y no parece correcto, es suficiente razón para no hacer clic.
• Enlaces o archivos adjuntos que no se abren inmediatamente, pero que piden que se introduzcan datos de acceso. Nunca responder a un mensaje de este tipo que no haya sido solicitado.
• Lenguaje urgente. Los mensajes de phishing suelen intentar precipitar a quien lo recibe para que tome una decisión rápida.
• Errores ortográficos, gramaticales o de otro tipo en la carta. Cada vez son menos frecuentes a medida que los ciberdelincuentes adoptan herramientas de IA generativa para redactar sus mensajes de phishing, pero aun así vale la pena prestarles atención.
• En el futuro, mantenerse alerta ante los esquemas asistidos por IA en los que los estafadores podrían utilizar imitaciones de audio y vídeo de personas reales (como un jefe, por ejemplo) para engañar y conseguir que facilite información corporativa confidencial.

ESET comparte consejos para no caer en la trampa

• Utilizar contraseñas seguras y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas.
• Asegurarse de activar la autenticación de dos factores (2FA) para una capa adicional de seguridad en el acceso.
• Asegurarse de que todos los dispositivos personales y de trabajo estén actualizados y parcheados con regularidad.
• Si el departamento informático se lo ofrece, participar en ejercicios periódicos de simulación de phishing para saber a qué se debe prestar atención preventiva o defensiva.
• Si se recibe un mensaje sospechoso, nunca hacer clic en los enlaces incrustados ni abrir el archivo adjunto.
• Si se está preocupado, ponerse en contacto con el remitente a través de otros canales, pero no respondiendo al correo electrónico ni utilizando los datos de contacto que aparecen en él.
• Informar al departamento informático de la empresa de cualquier mensaje sospechoso.
• Comprobar si algún compañero ha recibido el mismo mensaje.

“Las estafas por despido existen desde hace algún tiempo. Pero si siguen circulando, deben de seguir funcionando. Desconfíe siempre de todo lo que llegue a su bandeja de entrada”, concluye el investigador de ESET.

Coordenadas de contacto con ESET, empresa especialista en seguridad digital e informática, fuente de la presente información y recomendaciones: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos