¿Cómo hago mis trámites?

10 consejos para evitar a estafadores en trámites digitales

418 sitios en Costa Rica fueron creados este año para engañar. En esta entrega del blog ¿Cómo hago mis trámites’ le explicamos cómo saber cuáles son y cómo no caer en su trampa

En esta entrega de “¿Cómo hago mis trámites?”, le brindamos 10 consejos puntuales para asegurarse de no ser víctima de estafas o extracción de datos sin consentimiento. Con motivo de la virtualización de trámites durante la pandemia de la covid-19 desde principios de 2020, la detección de sitios web maliciosos que buscan estafar u obtener información sensible sin consentimiento de los usuarios, aumentó.

El Centro de Atención de Incidentes de Seguridad Informática (CSIRT) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), contabilizó en 2019 un total de 11 sitios web orientados al engaño. La cifra aumentó a 316 en 2020 y, en lo que va de 2021, ya suma 418 sitios. Por esta razón La Nación contactó con el director de Gobernanza Digital del Micitt, Jorge Mora Flores.

Mora explicó que existen tres grandes riesgos a la hora de ser víctima de estafa: la extracción de datos para acceder a cuentas bancarias, el “secuestro” de información de su computadora personal con el objetivo de pedir un pago en bitcoins como rescate bajo amenaza de borrar o publicar la información, y finalmente la captura de datos personales o datos sensibles que pueden ser utilizados en mercadeo o phishing.

El phishing, por su parte, es un término que se utiliza en informática para denominar un conjunto de técnicas que buscan engañar a una víctima mediante la obtención de su confianza, especialmente haciéndose pasar por alguna persona, empresa o servicio de confianza. Como parte del phishing, los métodos de contacto más comunes son las llamadas telefónicas o los correos electrónicos.

Por este motivo, le presentamos 10 consejos para no ser víctima de phishing, estafas o extracción de datos mientras realiza sus trámites virtuales:

1. No se desespere, mantenga la calma

Una de las principales técnicas utilizadas por los delincuentes es provocar un sentido de urgencia o alarma en la víctima, esto con el objetivo de que, presa del pánico, ingrese a sitios web maliciosos y otorgue datos sensibles.

“Normalmente es una llamada telefónica supuestamente de la entidad financiera equis donde me dice que acaban de ver movimiento en mi cuenta bancaria y que tengo que confirmar que yo estoy o no haciendo esa transacción y que tengo que hacerlo rápido. Inmediatamente, piden datos e invitan a la víctima a acceder a un enlace para validar información y la víctima, en ese sentido de urgencia, cae en la trampa”, describió Mora.

El primer consejo del funcionario es mantener la calma, colgar la llamada telefónica y hacer usted mismo la llamada a su entidad bancaria.

2. Revise el enlace del sitio web

Si nos invitan a ingresar a una página web dudosa, es aconsejable no ver solamente la parte gráfica, los colores o los logos, sino también prestar especial atención al enlace del sitio web, que aparece en la parte superior de su pantalla. Asegúrese de reconocer el enlace al que accedió.

Mora también recalcó que todas las páginas oficiales del Gobierno de la República tienen una nomenclatura reconocible, que finaliza en .go.cr, por ejemplo, la página del Micitt: www.micit.go.cr. También está la nomenclatura de sector salud del Ministerio de Salud, .sa.cr, entre otras. Solamente páginas oficiales pueden tener estos dominios, a diferencia de los dominios .com o .cr.

3. Para verificar, ingrese a sitiosoficiales.gob.go.cr

Si usted ingresa al sitio web gubernamental sitiosoficiales.gob.go.cr, podrá verificar la seguridad de la página que le esté solicitando datos. Con esta herramienta, el Micitt determina si una página web determinada es o no propiedad del Gobierno o de una institución certificada.

De esta manera, la herramienta le marcará con color verde las páginas que efectivamente sean certificadas. Con color amarillo le indicará si la página no se encuentra validada. Con color rojo si la página ya figura en las bases de datos del Micitt como con fines de estafa o engaño.

4. Cuidado con la ortografía

Muchas de estas páginas fraudulentas tienen notorias faltas ortográficas, como carencia de tildes o símbolos extraños. Jorge Mora asegura que esto se debe a que muchas veces el desarrollo web lo realizan fuera del país y usan traductores de Internet, por lo que la lectura evidencia falencias claras.

5. Estrategia de dos sitios web, el 57% de los casos

Es común que los delincuentes que utilicen una estrategia de dos sitios de Internet diferente, es decir, en principio invitan a la víctima a ingresar a un sitio web que parece seguro. Una vez ahí, le preguntan al usuario si tiene firma digital para realizar el trámite digital, y en caso de no tenerla, lo invitan a ingresar a una segunda página. Es esta segunda página la utilizada para extraer los datos. El 57% de los 418 sitios maliciosos detectados por el Micitt utilizan esta técnica.

“Normalmente recordamos la primera página a la que entramos. Recordamos que entramos a la página de Hacienda o del Banco, pero no recordamos la segunda página, que es la fraudulenta. Normalmente ponen los logos de todos los bancos y ponen a la víctima a elegir dónde quiere sacar la firma digital. Cuando una página que tiene todos los logos de los bancos, y desde ahí yo puedo supuestamente ingresar a la plataforma de los bancos, estamos, sin duda, ante una estafa”, advirtió el entrevistado.

Recuerde que, como le comentamos en “¿Cómo hago mis trámites?” anteriormente, la Firma Digital es un trámite personalísimo, que requiere un proceso detallado para confirmar su identidad.

6. No confíe en el candado que aparece junto a la dirección web

Al lado izquierdo de la casilla de la dirección web, usted podrá encontrar un símbolo similar a un candado. Según advierte el Micitt, este certificado no necesariamente garantiza seguridad. Este candado certifica que la información que una persona digita en una página web viaja de forma segura y cifrada desde su computadora o celular hasta el servidor dueño de la página.

Es decir, este candado asegura que no va a haber interferencias en el “camino” de la información, pero esto no garantiza que el servidor destino de la información es sano y seguro. “La información puede viajar segura de su computadora al dispositivo de los estafadores”, alerta el especialista.

7. Aplique la política de “cero confianza”

Si usted recibe un correo electrónico de una persona que no conoce o de un dominio que no conoce y viene con un archivo adjunto, no abra el archivo y, por el contrario, mejor elimine el correo.

“Algunas veces el encabezado del correo se puede enmascarar, así que vale la pena buscar en “más propiedades” si no estamos seguros. También ver cómo está escrito, muchas veces viene mal redactado y con faltas de ortografía”, dice Mora.

8. Si algo es demasiado bueno para ser verdad, posiblemente no sea verdad

Esta recomendación es corta y sencilla. No confíe de correos donde le ofrecen grandes montos de dinero o le aseguran que una herencia cuantiosa está esperando por usted, es muy posible que solamente deseen ganarse su confianza y deseo, como parte de la técnica de phishing. Recuerde, “cero confianza”.

9. ¿Qué datos puedo dar?

“Si bien es cierto el nombre, número de cédula y fecha de nacimiento son datos públicos, el número de cédula es un dato que me hace 100% identificable, entonces no debería ser un dato que yo esté dando vía telefónica. Las direcciones exactas tampoco se deben brindar, como máximo diga su provincia y cantón, ya distrito cierra demasiado el círculo de ubicación.

“El correo y número telefónico se podría dar, pero es importante preguntar por qué me lo piden, porque yo estoy consintiendo que me contacten y me pueden enviar archivos maliciosos. Temas de familia o estado civil no deberían de revelarse, mucho menos temas de tokens, pines o claves, eso nunca se da”, explicó el funcionario ante la duda de los datos más sensibles que no se deben dar.

10. El estrés de la crisis actual lo hace más vulnerable

Los malhechores aplican ingeniería social, intentan ganarse su confianza o provocar miedo y urgencia, además ofrecen datos de acceso público como su número de cédula o su fecha de cumpleaños para inspirar confianza y después obtener su información. Además, el estrés provocado por la pandemia hace que usted esté más irritable, cansado, agobiado y, en general, vulnerable.

No realice trámites delicados de forma apresurada, tómese su tiempo para llevar su trámite a buen puerto. Además, le recomendamos visitar nuestro blog “¿Cómo hago mis trámites?”, donde le explicamos detalladamente los pasos a seguir para realizar sus trámite se forma segura, rápida y efectiva.

Por otra parte, si usted tiene alguna sugerencia respecto a un trámite que requiere realizar, pero no tiene claro por dónde empezar, escriba al correo roger.bolanos@nacion.com para que su propuesta sea considerada para futuras entregas.

Roger Bolaños Vargas

Roger Bolaños Vargas

Róger Bolaños Vargas es bachiller en Periodismo en la Universidad de Costa Rica, donde también estudia Economía.