La pandemia del coronavirus dejó un terreno más fértil para las estafas online. Con un 2020 que se consolidó como uno de los años más lucrativos para los ciberdelincuentes en todo el mundo, 2021 no sólo sigue en esa dirección, sino que la intensifica con modalidades de engaños diversificados: adware, spywares, troyanos, ransomware y robos de claves configuran un escenario donde el único antídoto es la buena información.
Esto se vio reflejado en Argentina en las denuncias radicadas en la Unidad Fiscal Especializada en Ciberdelincuencia: “Comparando marzo 2019 a marzo 2020 y marzo 2020 a marzo 2021 pasamos de 2.581 denuncias a recibir un total de 14.583. El aumento, en términos porcentuales, corresponde a un 465%”, aseguró a Clarín el fiscal federal Horacio Azzolin, de la Unidad Fiscal Especializada en Ciberdelincuencia.
El transcurso de 2021 no hace más que confirmar esta tendencia: se comenzaron a ver nuevas modalidades, vía Whatsapp, Instagram, Facebook o Mercado Libre, y los estafadores manejan distintos niveles de conocimiento para poder robar contraseñas, suplantar identidades o pedir transferencias bancarias para luego desaparecer con el botín.
Y todo, siempre, explotando una peligrosa idea que reina en el inconsciente colectivo: “A mí no me va a pasar”.
Las estafas estrella de 2021
Los teléfonos celulares se convirtieron en la principal puerta de entrada de los atacantes. Según un informe de Avast pedido por Clarín, en lo que va de 2021 ya se detecta que el 45% de las amenazas en móviles sigue siendo el adware. Las falsas aplicaciones ocupan el segundo lugar, con un 16% y los troyanos bancarios o “bankers” el tercero, con un 10%. Además, se detectó un crecimiento de un 771% en stalkeware y spyware y sólo Avast bloqueó 47.000 ataques de estafa de soporte técnico por mes, hasta julio. Las páginas webs fraudulentas relacionadas al Covid crecieron un 300%.
Estos datos tienen su correlato en las denuncias: “Pasamos de 1.305 casos de fraude a 8.559, lo que representa un 58,7% aproximadamente del total de los casos y cerca de 50 denuncias diarias. De accesos a cuentas, pasamos de 229 a 1.220”, agrega Azzolin.
Ahora bien: ¿qué hay detrás de estos números? ¿Qué son exactamente los adware, spywares, y los troyanos? ¿Por qué es importante conocer esta terminología?
Si bien es cierto que los ataques adquieren distintos ropajes cibernéticos, hay cuatro tipologías dentro de los ciberdelitos que, de alguna u otra manera, se repiten y explican todo esto: los robos de contraseñas, los ataques por ingeniería social, los ataques a conexiones y el malware.
Cada una de estas categorías implica un grado distinto de relación entre atacante y atacado: así como el “punga” roba una billetera sin que la víctima se de cuenta del hurto y el “cuento del tío” que requiere entablar cierto vínculo de confianza con el blanco, los ciberataques tienen análogamente distintos grados de elaboración.
Están quienes logran adivinar una contraseña sin que el estafado se entere, y quienes elaboran una ingeniería social para hacerse pasar por una entidad oficial como un banco y logran que el usuario entregue por su cuenta sus credenciales de acceso.
Acá, las formas más comunes de los ciberataques dirigidos a personas y el consejo de los expertos para evitar caer en la trampa.
Los seres humanos somos mucho más predecibles de lo que pensamos. Y por esto, es muy común usar patrones repetidos para generar contraseñas: nuestro nombre con la primera letra en mayúscula seguido de 4 dígitos, tres o cuatro caracteres especiales que en el teclado están uno seguido de otro, nuestra fecha de nacimiento, la altura de nuestra dirección, y, aunque todavía sea llamativo, “123456”.
¿Hay algo peor que una contraseña fácil? Sí: una contraseña fácil y repetida en todas nuestras cuentas.
Dentro de los ataques a contraseñas, los más comunes son los llamados “por diccionario”, esto es, ir probando combinaciones esperables que el usuario puede haber usado. Curiosamente, muchas contraseñas son adivinadas de esta manera.
Dando un paso más de complejidad, los atacantes pueden servirse de programas más elaborados para “crackear” contraseñas (romper el cifrado) bajo la modalidad de la “fuerza bruta”: probar una y otra vez con infinidad de combinaciones hasta que una pase.
Lo mejor es usar un gestor de contraseñas. Ojo: tienen pros y contras. Sin embargo, los expertos coinciden en que son más los beneficios que los problemas que traen.
Estos ataques crecieron hasta duplicarse durante 2020 (según ESET), con el comienzo de la pandemia. Se llaman de “ingeniería social” porque implican un conjunto de técnicas dirigidas a los usuarios para “ablandarlos” y que entreguen por sus propios medios información sensible como contraseñas.
“El problema es la confianza desmedida del usuario, fruto del desconocimiento y la necesidad y urgencia de las personas”, explica a Clarín Daniel Monastersky, abogado especializado en delitos informáticos, Director del Centro de Estudios en Ciberseguridad del CEMA.
Una de las más comunes y reiteradas en 2021 fue la de cuentas de Instagram apócrifas que utilizan tipografía, logos y toda la simbología de la entidad por la que se pretenden hacer pasar: es decir, suplantan a una entidad oficial como un banco o una tienda online.
Suele ser, en muchos casos, una forma anterior al uso de malware, esto es, programas maliciosos que acceden a nuestros datos personales: es más simple conseguir los datos de la propia víctima, aunque para esto se requiere cierta arquitectura detrás del engaño para hacerlo pasar por una operación legítima.
“Las estafas más comunes son las que tienen vinculación con las entidades financieras, préstamos preaprobados. Luego vienen los casos de suplantación de identidad en donde los ciberdelincuentes toman control de perfiles de Instagram, para luego utilizar la gran cantidad de seguidores para de esas cuentas y “alquilar” o “vender” ese perfil al mejor postor. Sin dudas, la estafa más común de este año -y la que más daño generó- fueron los créditos bancarios preapbrobados”, advierte Monastersky.
Dentro de la ingeniería social hay varios subtipos, pero se destacan tres:
Phishing
Es una de las técnicas más usadas en las ciberestafas: correos electrónicos apócrifos. Cuando la estafa llega por correo electrónico se llama phishing, que viene del “pillaje”: un tipo de robo que se aprovecha de un descuido.
La particularidad es que casi siempre se apela a la urgencia: “Si no entrás a este enlace a cambiar tu contraseña, tu cuenta se eliminará”, por ejemplo. Esto es para generar una distracción, una baja en las defensas del target, y generarle miedo.
Cuando se trata de un ataque dirigido a una persona en concreto, se conoce como Spear phishing, modalidad “arpón”: se usó mucho durante la cuarentena, con correos electrónicos que contenían una contraseña que nosotros en efecto alguna vez usamos, para que creamos que tienen información privada nuestra.
Esto sucede porque cuando las contraseñas son vulneradas (muchas veces, precisamente, por ser demasiado fáciles), se “venden” en paquetes en la Dark Web para que los atacantes realicen estas campañas masivas de extorsiones.
“Una particularidad del cibercrimen es que va mutando conforme al contexto. El criminal es estudioso y está atento a las necesidades, campañas o tendencias del momento”, explica a este diario Jorge Litvin, abogado especialista en cibercrimen y ciberseguridad.
Y en 2021 crecieron los relacionados a servicios y empresas que se usan masivamente: “Los criminales envían correos en nombre de empresas como Netflix, Disney+, Amazon Prime, Mercado Libre, Paypal para que el usuario cargue nuevamente sus datos de acceso o de sus tarjetas”, agrega.
Tiene variantes: cuando la estafa es telefónica se llama “vishing” y, cuando llega por SMS, smishing (aunque es más común en la actualidad por Whatsapp que por este medio).
Spam o correo no deseado
Los mensajes no deseados son casi tan antiguos como el mail mismo. Esta modalidad, que puede parecer inofensiva para muchos, todavía hoy capta la atención de desprevenidos.
Con esta técnica se puede apuntar, de mínima, al envío masivo de mensajes publicitarios. Y de máxima, infectar los equipos con algún tipo de malware que siga nuestros movimientos o, incluso, robe contraseñas.
Fraudes online
Es una de las modalidades más comunes y que más crecieron con el gran incremento del ecommerce durante la pandemia: falsos préstamos, tiendas online fraudulentas, falso soporte técnico y hasta sextorsión.
Según Pedro Adamovic, CISO (director de Seguridad Informática) de Banco Galicia, las dos estafas virtuales más frecuentes son a través de las redes sociales y el phishing. “En la primera, los delincuentes aprovechan la información que los clientes publican en los comentarios de los perfiles oficiales del Banco. A partir de aquí, los estafadores crean perfiles falsos, y contactan a los clientes ofreciéndoles ayuda para luego solicitarles información confidencial”.
“La segunda modalidad más frecuente es el phishing tradicional (que ha vuelto a ser muy protagonista en estos últimos tiempos), donde se envían mails a los clientes para que ingresen a sitios falsos y brinden credenciales y datos confidenciales”, agrega.
Las plataformas de ecommerce son otro potencial problema. Todavía se ven hoy, en Mercado Libre: muchos vendedores dejan mensajes en las imágenes de las publicaciones para ser contactados por fuera de la plataforma y así saltearse la comisión que cobra el sitio. Sin embargo, esto desemboca en la gran mayoría de los casos en estafas: una vez hecha la transferencia, el usuario desaparece o borra la cuenta.
“Buscamos que nuestro ecosistema esté libre de prácticas fraudulentas, sin embargo, no estamos exentos de esta problemática que afecta a todos los ecommerce a nivel global”, explica a Clarín Jorge O’Higgins, CISO en Mercado Libre.
Por eso, el experto es claro respecto del ABC para evitar caer en un fraude: “Las compras hay que concretarlas siempre dentro de Mercado Libre. Contactar por fuera a los vendedores vía servicios de mensajería o redes sociales te deja a merced de cualquier intento de defraudación”, detalla como primer punto.
Hay otras medidas que van en esa línea, explica: no intercambiar datos personales en la sección de preguntas y respuestas ni por mail, revisar la reputación de los vendedores, no compartir información sobre medios de pago y siempre verificar las direcciones para pagos online (sobre todo que empiecen con “https”, que es el protocolo seguro de conexión).
Adamovic, el experto del Banco Galicia, recuerda las medidas de seguridad básicas: “No necesitamos las claves para ayudar al usuario: son personales y confidenciales. Enviamos códigos de validación momentáneos por mail o sms, nunca en la App, cuando necesitemos comprobar una identidad”.
Redes trampa (Wifi falsas)
Los ataques mediante las conexiones de internet apuestan a que nos subamos a una red de WiFi para poder acceder a nuestros datos. Son muy simples en su ejecución: cuando conectamos nuestro teléfono móvil o laptop a una conexión que no es la de nuestra casa o la de alguien de confianza, los estafadores pueden interponerse entre nuestros datos y los servicios que usamos, sea Whatsapp, el mail o la cuenta bancaria.
Hay muchas categorías dentro de los ataques mediante redes: Spoofing (suplantación de identidad a través de un hackeo), ataques a cookies (el rastro que dejamos cuando navegamos), ataques DDoS (utilizar nuestro equipo para atacar otras páginas webs) o el sniffing (“oler” todo lo que hace el usuario que está conectado a una red).
“El tema es así: cuando conectás físicamente un dispositivo a una red insegura, potencialmente lo estás conectando a un dispositivo controlado (manejado) por un atacante. Mientras que cuando conectás tu dispositivo (PC, notebook, tablet, celular) a una red segura (tu ISP, proveedor de telefonía, router wi-fi de tu casa o empresa), ese dispositivo al que lo conectás de alguna forma te está aislando (protegiendo) del resto de la red”, explica Javier Smaldone, experto informático.
“La diferencia es que, si estás conectado a una red segura, solo podés sufrir ataques remotos, en tanto que si te conectás a una red manejada por un adversario, eso habilita toda otra serie de ataques”, agrega.
Por esto es importante usar servicios de chat cifrados como WhatsApp, Telegram o Signal para comunicarse: por más de que estemos en una red insegura, los atacantes no pueden leer nuestras comunicaciones.
De todos modos, el mejor consejo es evitar conectarse a una red de WiFi ajena siempre que sea posible.
Virus
“Malware” es un acrónimo en inglés para definir a un “programa malicioso” (malicious software): el más famoso de todos los malwares es el virus, diseñados para copiarse a sí mismos y propagarse a tantos dispositivos como sea posible.
Hay una enorme cantidad de virus distintos, pero todos son programas que tienen como propósito alterar el correcto funcionamiento de una PC, laptop o teléfono: desde ralentizarlo hasta hacerlo inutilizable hasta corromperlo o borrarle información.
Ransomware
El segundo que se hizo célebre, pero más durante estos últimos años, fue el ransomware. Su nombre, también un acrónimo, refiere a un “programa de rescate de datos”. Ransom en inglés significa rescate, y ware es un acortamiento de la conocida palabra software: un programa de secuestro de datos.
En general, suele apuntar a organizaciones y no tanto a personas individuales, ya que intentan dar grandes golpes.
Hubo una enorme cantidad de casos resonantes de ransomware durante 2020-2021: desde multinacionales como Apple, Electronic Arts y hasta el caso del secuestro de información de la Dirección Nacional de Migraciones, la aseguradora de viajeros Universal Assistance o el resonante caso de Kaseya a mediados de año.
En Argentina, estos son los Ransomware que más éxito tuvieron, es decir, los que más víctimas se cobraron:
En general suelen atacar a organizaciones o personas de interés público, ya que intentan asegurarse un botín por parte de alguien que pueda pagarlo.
Adware y spyware
Por lejos, el Adware es la ciberamenaza más molesta de todas: anuncios no deseados que se desplegan de forma masiva.
Si bien el adware está más asociado a la incomodidad, el objetivo de este tipo de software es recopilar información del usuario y, en algunos casos, mostrarle enlaces a sitios maliciosos.
Además, muchas veces el adware impacta en el rendimiento de nuestro dispositivo, haciéndolo mucho más lento y, en consecuencia, difícil de utilizar.
El spyware, por su parte, tiene programas que entran en los dispositivos y recopilan información de los sitios que visitamos, las conversaciones que podemos tener (según el servicio de chat que usemos) y Troyanos.
Hay distintos tipos de troyanos, que son un tipo de programa que se presenta como legítimo pero viene con un objetivo malicioso asociado (de ahí su nombre, en referencia al Caballo de Troya).
Tiene distintos ropajes: backdoors, que permiten al atacante controlar nuestro equipo de manera remota, keyloggers, que graban todas las teclas que tocamos en el teclado para así saber qué contraseñas usamos o steelers, que permiten que accedan a la información privada de nuestros equipos.
“A mí también me puede pasar”: el mejor antídoto
A pesar de que las formas de los ataques van mutando según la aplicación o servicio de moda, las modalidades se reducen, como se pudo ver, a cuatro grandes categorías.
“Sin dudas los vaciamientos de cuentas de homebanking y billeteras virtuales de los usuarios son una tendencia del último año. Los criminales se hacen pasar por el personal de una entidad (por mail, mensaje, llamado o el chat de una red social) y engañan a los usuarios para que les entreguen las claves de acceso y los datos necesarios para operar. Incluso obtienen dinero a partir de generar préstamos en nombre del usuario, dejándolo no sólo con el saldo en cero, sino también endeudado”, cuenta Litvin.
Hay, así, dos formas principales de prevención.
La primera, dudar siempre: “Todo correo electrónico, mensaje de texto, llamado telefónico que recibimos es un intento de ciberataque hasta que podamos demostrar lo contrario. Nos obliga a estar alertas y no hacer clic sin antes pensarlo”, sentencia Litvin.
Pero la segunda y más importante es pasarle un cepillo a contrapelo a esa idea que tenemos todos de que las estafas siempre les ocurren a otros: a nosotros también nos puede pasar.
Es cierto que usar contraseñas seguras y factor de autenticación de dos pasos ayuda a estar más seguros.
Pero, a fin de cuentas, los atacantes buscan explotar la vulnerabilidad más grande que tienen a la mano, que no es precisamente informática: la emocional, esos minutos en los que por alguna razón personal bajamos la guardia y dejamos de prestar atención.
Por eso, el mejor antídoto es pensar que, aunque nunca nos haya pasado, siempre podemos quedar expuestos a un ciberataque que nos cause un enorme dolor de cabeza.
Fuente: Clarín