A pesar de que la masificación en el acceso a las tecnologías de la información ha supuesto un avance importante para que el mundo camine hacia el futuro, junto a ella también han crecido la cantidad y el número de estafas o fraudes digitales.
Según el informe anual 2020-2021 de la Asociación Española de Empresas Contra el Fraude, AEECF, en España se presentó un incremento aproximado del 46% en casos de fraude con respecto al mismo periodo del 2019, con un especial protagonista entre las tipologías de fraude: el phishing.
El #phishing, también protagonista en la campaña de la renta 2022
La campaña de la renta llega con la primavera y los ciberdelincuentes agudizan el ingenio para alcanzar a sus víctimas una vez más, aprovechando este importante evento anual.
La Guardia Civil o Instituciones como INCIBE están alertando ya de múltiples suplantaciones de identidad en nombre de la Agencia Tributaria o de algunos bancos aludiendo a asuntos diversos referentes a la campaña de la declaración de la renta.
El método más popularmente utilizado para estos casos es de nuevo el phishing, a través del cual los ciberdelincuentes suplantan de una forma muy sencilla la identidad de un organismo oficial o de una entidad bancaria para contactar con el usuario. Tras ganarse su confianza y credibilidad, consiguen que este haga clic en un link o que descargue un fichero adjunto.
El mensaje con el archivo adjunto o link puede llegar a través de correo electrónico, SMS (smishing), mensajería instantánea tipo WhatsApp, enlaces en redes sociales o incluso gestionarse todo tras una llamada telefónica (vishing).
Inducir a este clic es tan sencillo como invitar al usuario a descargarse un borrador de la renta o algún documento necesario para el proceso en cuestión. La ingeniería social se encarga de articularlo todo para resultar lo más creíble posible en plena campaña.
El problema es que cuando ese clic se produce, a veces ya no hay vuelta atrás, porque se activa la descarga de un malware que permite al estafador alcanzar su objetivo: hacerse con el control del dispositivo y robar información confidencial.
Otras veces la persona es dirigida a una URL fraudulenta donde se solicitan determinados datos personales o bancarios, como el número de cuenta bancaria o un número de tarjeta. Normalmente, estas URL tienen denominaciones sospechosas y no se corresponden con la identidad del emisor oficial del mensaje. Esto se puede comprobar con los canales oficiales del supuesto emisor.
Es de extrema importancia divulgar entre la sociedad este mensaje. Ni la Agencia Tributaria ni ninguna entidad financiera solicita o envía información confidencial, personal o bancaria, a través de comunicaciones electrónicas. Este hecho simplemente ya tiene que alertar al usuario, que deberá comprobar la fiabilidad de estas comunicaciones y la identidad del remitente.
Phishing, una práctica criminal que afecta a particulares y empresas
Entre las modalidades de fraude tecnológico más utilizadas por los criminales, se encuentran el phishing o suplantación en medios digitales. El objetivo de esta práctica es el de conseguir datos personales de relativa importancia, a través de la manipulación de los usuarios activos de redes sociales e internet. El criminal, conocido como phisher, se encarga de suplantar a una persona o empresa de confianza para adquirir información de forma fraudulenta, con el interés de cometer un acto delictivo de robo de dinero o secuestro de información. Los phishers, por lo general, van detrás de información relacionada con contraseñas, datos sobre tarjetas de crédito e información personal o empresarial.
El phisher busca contactar a su víctima a través de correos electrónicos muy bien elaborados, con los cuales solicita rellenar formularios con datos importantes de sus actividades bancarias. En casos más sofisticados, los criminales manipulan a sus víctimas para que ingresen a un link que los conecta con una página web de características visuales similares a las de entidades o empresas de confianza, con las cuales pueden extraer sus datos más fácilmente.
Métodos para evitar el phishing
Para hacer frente a esta situación y evitar convertirse en víctima de estafa, la AEECF recomienda a las personas tomar medidas de prevención que les ayuden a blindarse de situaciones de este tipo. Según esta asociación, es primordial no hacer uso del teléfono móvil para actualizar datos personales o empresariales, ya que este dispositivo es el más vulnerable de ser atacado por hackers y estafadores digitales. La asociación también recomienda no abrir links sospechosos, cuyo envío no haya sido solicitado previamente por el involucrado; revisar que los iconos de seguridad se encuentren activados antes de ingresar datos en cualquier formulario o teclear directamente las URL de las páginas en la barra de direcciones de los navegadores, entre otras estrategias. Con estas recomendaciones, la AEECF espera que las cifras de víctimas de fraude disminuyan para el 2022 y que desaparezcan en un futuro cercano.