En la primera mitad de este año, al menos ¢12.769 millones fueron sustraídos de cuentas bancarias mediante fraude electrónico, según datos del Organismo de Investigación Judicial. Para lograrlo, los delincuentes suelen manipular a sus víctimas para que violen prácticas de seguridad básicas sin darse cuenta.
Dos expertos consultados detallaron los signos reveladores de este tipo de engaños y cómo prevenirlos, información que conviene tener en cuenta siempre, pero más aún cuando viene una época de manejo de más dinero con el pago de aguinaldos.
Estas estrategias de los ciberdelincuentes se conocen como “ingeniería social” y no depende directamente de cuestiones informáticas sino, en gran medida, de la interacción humana.
Su éxito deriva de la habilidad de los atacantes para tejer escenarios a la medida, en los cuales persuaden a las víctimas para revelar información confidencial. De esta manera, sin utilizar software malicioso, el uso de estas mentiras cuidosamente diseñadas proporcionan a los criminales acceso legítimo a cuentas bancarias.
En términos simples, la “ingeniería social” es una forma moderna de estafa basada en redes digitales que explota aspectos de la psicología humana para ganarse la confianza de alguien y hacerle bajar la guardia.
Pueden ser mensajes de WhatsApp, correos electrónicos o llamadas de una situación urgente que requiere acción de inmediata en línea, explicó César Bravo, investigador y creador de soluciones en el campo en ciberseguridad.
Ingeniero en sistemas con una maestría en Ciberseguridad de Cenfotec, es profesor universitario y autor de libros sobre el tema.
Los delincuentes, agregó, suelen apelar a la vanidad, a figuras de autoridad (presentarse como trabajadores de un banco), a la avaricia (ofrecer premios o promociones) o explotar otro aspecto de alguien al cual suelen detectar mediante revisiones de sus perfiles en redes sociales.
Dinámica habitual
El principio de los engaños es una comunicación (correo, WhatsApp, llamada, etc) que propone algún tipo de ayuda o colaboración no solicitada frente a una situación donde hay algún nivel de emergencia.
Puede ser facilitar la obtención de un premio, prevenir la pérdida de dinero en una cuenta bancaria u otro tipo de asistencia no prevista.
El tono del intercambio es de urgencia, requiere actuación inmediata o en un plazo limitado y, lo más importante, ejecutar acciones de algún tipo, explicó Desilda Toska; ingeniera de software con énfasis en ciberseguridad.
Toska posee una maestría en informática de la Universidad de Tirana en Albania y un doctorado en esa rama de la Universidad de Milán en Italia. Junto a Bravo es coautora del libro El arte de la ingeniería social: descubra los secretos detrás de la dinámica humana en la ciberseguridad.
Ejemplos típicos son mensajes o conversaciones que alertan de cuentas bancarias bloqueadas o a punto de estarlo, campañas de donación o notificaciones de inesperados premios cuya disponibilidad es limitada o están cerca de expirar si no se hace algo para asegurarlos.
Bravo y Toska advierten que los delincuentes siempre varían las situaciones.
Lo único constante, recalcaron, suele ser la explotación de principios psicológicos para evocar temores, empatía o gratificación en situaciones donde hay urgencia, se requiere tomar acción y la persona que presenta la situación es quien ofrece ayuda de manera servicial y amable.
¿Cómo evitar ser víctima?
En primer lugar, Bravo y Toska aconsejan desconfiar y razonar críticamente las comunicaciones. Si es demasiado bueno para ser cierto, posiblemente es falso; dijeron. Si usted no participó en una rifa o promoción, tenga cuidado con el ofrecimiento si no recuerda haber participado.
Si la situación presentada es grave, urgente e implica finanzas (como cuentas bancarias), puede ser un engaño si además se le pide hacer algo.
Si detecta que alguien quiere engañarlo, corte la comunicación de inmediato. Ambos especialistas desaconsejan seguirles la corriente para tratar de burlarse o frustrarlos porque eso puede ser peligroso.
Si la comunicación procura su empatía y el tono parece una forma de endulzamiento para que usted haga algo, posiblemente es peligroso, añadieron.
Estafas típicas con ingeniería social
Phishing. Es cuando un atacante realiza comunicaciones con una víctima que disfraza de legítimas. A menudo, afirman o parecen provenir de una fuente confiable. El correo electrónico es su manifestación más popular pero también utilizan chats, redes sociales, llamadas telefónicas o sitios web falsos diseñados para parecer legítimos. Suelen disfrazarse con campañas de caridad para explotar la buena voluntad de las personas instándolas a donar. Es entonces cuando queda expuesta la información personal y forma de pago.
Spear phishing: es un tipo de phishing altamente dirigido centrado en un individuo u organización, en el cual se utiliza información personal específica del destinatario para ganarse su confianza y fingir legitimidad. Muchas veces los datos se obtienen desde las cuentas de redes sociales de las víctimas u otra actividad en línea.
Pretexto. Es cuando un hampón fabrica circunstancias falsas para conducir a una víctima a brindar acceso a datos confidenciales o sistemas protegidos. Por ejemplo, cuando un estafador finge necesitar confirmaciones de índole financiero para verificar una identidad o simula venir de una entidad confiable para sacar datos.
Quid pro quo. Es cuando las comunicaciones solicitan información privada de alguien a cambio de alguna compensación (premios, descuentos, becas, etc).
Más sobre este tema:
Falso funcionario bancario: el método favorito de los estafadores informáticos
Estafadores se hacían pasar por agentes federales de EE. UU. para sustraer dinero a adultos mayore
Estafadores digitales pagan ¢50.000 para tener cuentas bancarias donde desviar dinero robado
Sugef exigirá doble control de seguridad para transacciones bancarias