Oleada de fraudes digitales a ciudadanos
Tabla de contenidos
Los fraudes digitales a ciudadanos van en aumento y han surgido tipologías más sofisticadas para lograr engañar a las personas y estafarlas
«Tengo algo que contarte, agrégame a WhatsApp». ¿Has recibido en las últimas semanas una llamada de teléfono en la que una voz de mujer te dijo esta frase? Se trata de una estafa que se suma a la oleada de fraudes digitales a ciudadanos que estamos viviendo en 2024.
Los ciberdelincuentes no solo tienen en su punto de mira a las grandes compañías e instituciones, sino que los fraudes digitales a ciudadanos también están a la orden del día.
De hecho, en muchos casos, los fraudes son realizados haciendo uso de información previamente extraída en ataques a empresas, con el aliciente de realismo que da a los contactos que se generan, el advertir que se hace uso de información personal real.
Sin ir más lejos, hace unos meses la Dirección General de Tráfico sufrió un incidente de seguridad que se saldó con la sustracción de datos sobre millones de conductores. Tras este ciberataque, miles de ciudadanos recibieron emails y SMS informándoles de que habían sido multados y redirigiéndolos hacia una página web falsa en la que podían abonar el importe de las sanciones.
Este caso es una pequeña muestra de una tendencia peligrosa: se está produciendo una oleada de fraudes digitales a ciudadanos. De hecho, los especialistas en ciberinteligencia han detectado recientemente:
- Un incremento de esta clase de estafas.
- El surgimiento de nuevas tipologías de fraudes realizados a través de plataformas de mensajería, redes sociales y llamadas telefónicas.
A continuación, vamos a analizar algunos ejemplos de fraudes digitales a ciudadanos y a glosar algunas recomendaciones mínimas para ayudar en su prevención.
Suplantaciones de identidad a través de WhatsApp
La operativa de este fraude es muy sencilla. La víctima potencial recibe un mensaje de un usuario que se hace pasar por un contacto conocido que le solicita dinero o información personal.
Además, esta clase de fraudes digitales a ciudadanos pueden incluir en los mensajes enlaces maliciosos cuyo clic o descarga puede infectar el dispositivo utilizado con un malware. Gracias a programas maliciosos como infostealers o spywares se pueden obtener las credenciales para acceder a cuentas bancarias online o a aplicaciones críticas, así como espiar las comunicaciones de las víctimas.
Un ejemplo paradigmático de esta tipología de fraudes digitales es la suplantación de un familiar cercano en la que se solicita urgentemente dinero para cubrir una emergencia.
Usar una llamada telefónica para redirigir a la víctima a WhatsApp
Como señalamos antes, los fraudes digitales a ciudadanos son cada vez más complejos con el objetivo de superar las medidas de seguridad que se van implementando para prevenirlos. La suplantación de identidad a través de WhatsApp es una buena prueba de ello.
La campaña fraudulenta de llamadas que nos piden que agreguemos a un contacto a la aplicación de mensajería instantánea más empleada en nuestro país es una variación del fraude anterior.
¿Por qué los actores maliciosos recurren a una llamada telefónica realizada con un número de nuestro país para que sean las víctimas las que inicien la conversación por WhatsApp?
La aplicación cuenta con filtros anti-spam para intentar evitar que a los ciudadanos les lleguen mensajes de números desconocidos con intenciones fraudulentas. Al conseguir que sea el ciudadano el que añada el contacto en la app, se eluden estos filtros.
Además, al usar un número de teléfono nacional se reduce el nivel de suspicacia de las víctimas potenciales que, en cambio, se ponen inmediatamente en alerta cuando reciben mensajes o llamadas de números procedentes de países situados a miles de kilómetros de distancia.
A todo ello debemos sumar el papel que pueden jugar las IA generativas que permiten clonar la voz de personas. Ya que si la el tono o la cadencia de voz de la persona que nos hace la llamada nos resulta familiar, seremos más propensos a añadir su número de teléfono a nuestros contactos.
Falsa multa de tráfico impuesta por la DGT
Este es uno de los fraudes digitales a ciudadanos más en boga en nuestro país a raíz del ciberataque sufrido por la DGT al que hicimos mención antes.
En primer lugar, el ciudadano recibe un comunicado, vía correo electrónico, mensaje u otros canales, procedente, supuestamente, de la DGT. En él, se le informa sobre una infracción, una multa, la necesidad de realizar un pago u otra clase de acontecimiento que le afecta. Asimismo, se incluye en el mensaje un enlace que lo dirige a una web que también suplanta la identidad corporativa de la DGT. Generalmente, a través de esta página maliciosa se le solicita información financiera o, directamente, se le pide que gestione un pago.
De hecho, el ejemplo paradigmático de esta tipología de fraudes digitales a ciudadanos es la recepción de un correo electrónico de la DGT informando de una multa por exceso de velocidad y solicitando el pago de la correspondiente sanción a través de un enlace fraudulento.
¿Por qué resulta complejo discernir si estos comunicados son falsos o no? Como apuntamos al inicio de este artículo sobre fraudes digitales a ciudadanos, en muchas de estas estafas se está utilizando información personal que recientemente se ha visto comprometida en una filtración de la DGT.
Además, debemos tener en cuenta que para los conductores resulta difícil saber con precisión si han podido haber cometido una infracción o no, pudiendo estar más receptivos a consultar una eventual multa cuya no gestión en tiempo, por otra parte, puede suponer un incremento de la sanción.
Cajas «misteriosas» de Amazon
Muchos fraudes digitales a ciudadanos tienen en común la suplantación de la identidad de compañías ampliamente conocidas por el conjunto de la sociedad. Una de estas empresas es Amazon, una multinacional del retail presente en todo el planeta.
Pues bien, los profesionales de ciberinteligencia han detectado campañas fraudulentas que recurren a la divulgación de anuncios de cajas con contenido sorpresa. El importe de estas cajas es extraordinariamente bajo, sin embargo, contienen supuestamente productos de alto valor, de ahí que resulten tan atractivas para las víctimas que deciden comprarlas. Sin embargo, el pedido nunca llega y el dinero no les es devuelto.
Al calor de recientes campañas de ofertas vinculadas a Amazon, los actores maliciosos han divulgado una multiplicidad de anuncios, ofertas y enlaces que suplantan a esta multinacional para engañar a los ciudadanos y estafarlos.
Estafas de alquiler vacacional
Si hay una época del año en que los fraudes en el sector turístico proliferan esa es, sin duda alguna, el verano. Durante los meses de julio y agosto millones de personas reservan alojamientos para disfrutar de sus merecidas vacaciones. ¿Cómo se aprovechan los ciberdelincuentes de la temporada vacacional?
Publican alojamientos falsos en conocidas plataformas de alquiler vacacional. En estos anuncios se solicita realizar alguna acción fuera de los canales oficiales que provee la plataforma, eludiendo, así, sus mecanismos de detección de actividad fraudulenta.
Por lo general, una vez que la víctima contacta con el inmueble ficticio que desea reservar, el supuesto propietario o gestor le insta a mantener la conversación o realizar el pago del alojamiento fuera de los canales que la plataforma provee.
¿Por qué el ciudadano va a aceptar irse de la plataforma? El estafador alega, en muchos casos, la posibilidad de reducir el precio de la estancia.
Sin embargo, el alojamiento no existe. Una circunstancia que no es conocida, en ocasiones, hasta el día de la llegada.
Estafas laborales
Otro de los fraudes digitales a ciudadanos que se han popularizado en los últimos meses son las ofertas de trabajo fake.
En esta clase de estafas, los actores maliciosos publican ofertas falsas en redes sociales o las envían a los emails de sus víctimas. Después, requieren a las personas que desean postularse que realicen pagos iniciales para acceder a su inscripción o bolsa. O bien, les solicitan información personal argumentando que es necesario facilitarla para que se pueda inscribir al interesado con éxito.
Un ejemplo prototípico de esta clase de fraudes digitales a ciudadanos consiste en solicitar un conjunto de datos personales a los interesados. ¿Con qué fin? Conocer mejores a los eventuales candidatos al puesto de trabajo ofertado.
¿Para qué se emplea esta información de índole personal? Suplantar a la víctima ante casas de apuestas online, lo que provoca un gran impacto en la declaración de ingresos del afectado.
Estafa del bono de TikTok u otras redes sociales
Las redes sociales juegan un papel preponderante en la vida de millones de personas. De ahí que sea un medio que los ciberdelincuentes desean explotar para realizar fraudes digitales a ciudadanos. ¿Cómo se llevan a cabo las estafas?
Se envían mensajes a través de redes sociales u otros canales como WhatsApp. En dichas comunicaciones se ofrece a las víctimas potenciales dinero fácil por dar «me gusta» en aplicaciones como TikTok, Instagram o Facebook. Sin embargo, antes de abonar el dinero se requieren pagos iniciales que resultan en un fraude económico.
Una campaña que emplea esta técnica maliciosa envía mensajes vía WhatsApp ofreciendo un bono de TikTok por completar encuestas y dar «me gusta». Una vez que las víctimas completan las tareas indicadas por los actores maliciosos, el pago prometido nunca se llega a producir.
Falsas pólizas de seguro
Seguros de hogar, médico, de coche, de vida, de mascotas… Hoy en día, los ciudadanos y las empresas pueden contratar un amplio abanico de seguros. Y los actores maliciosos están preparados para sacar tajada de la contratación de pólizas de seguros. ¿Cómo? Lanzando ofertas de falsas pólizas a precios bajos para seducir a las víctimas y conseguir que paguen por unos seguros que no existen. Para ello recurren a técnicas como el phishing, el envenenamiento SEO o el malvertising.
Un ejemplo típico de esta clase de fraudes digitales a ciudadanos son las ofertas de pólizas de seguro para conductores. En estas estafas se llega a realizar todo el proceso de inscripción y pago, pero, finalmente, no se provee el servicio ofertado.
Utilización de ingeniería social para recabar información personal o empresarial
Las técnicas de ingeniería social son fundamentales para el éxito de los fraudes digitales a ciudadanos.
Una de estas estafas consiste en engañar a una persona para que facilite información confidencial sobre ella o su entorno laboral. Dicha técnica se lleva a cabo, generalmente, a través de llamadas telefónicas.
Una operativa habitual de esta clase de fraude consiste en que un actor malicioso llama a la víctima afirmando ser un profesional del departamento de TI de la empresa en la que trabaja. En el transcurso de la llamada le solicita la contraseña de su equipo de trabajo para realizar una supuesta actualización del sistema. De esta manera, el ciberdelincuente obtiene las credenciales de acceso al sistema corporativo.
Aprovechamiento de circunstancias de caos o necesidades sobrevenidas
Ya lo dice el refranero popular, «a río revuelto, ganancia de pescadores». En las situaciones de crisis resulta más sencillo llevar a cabo la suplantación de identidad de múltiples organizaciones o servicios empleando un argumento muy atractivo: se desea ayudar a la persona o empresa que se encuentra en esta situación para que la supere, ofreciéndole asistencia y soluciones.
Para analizar un ejemplo de esta clase de fraudes digitales a ciudadanos nos basta con echar un ojo a uno de los acontecimientos más relevantes en el ámbito tecnológico de 2024: la caída de millones de dispositivos Windows tras un fallo vinculado a la empresa de soluciones de ciberseguridad CrowdStrike.
Este incidente que provocó cancelaciones de vuelos masivas, afectó a la continuidad de negocio de miles de empresas e impactó en organizaciones críticas como hospitales o centros de salud fue aprovechado por los delincuentes para cometer fraudes digitales a ciudadanos.
Así, desde los primeros minutos, se pudo constatar:
- Campañas de phishing suplantando a CrowdStrike, enviando correos electrónicos a empleados de las empresas afectadas ofreciendo soporte. En dichos emails, se adjuntaban documentos Microsoft Word que contienen instrucciones que, una vez abiertos, propagaban una infección.
- Creación de sitios web falsos suplantando a Crowdstrike con el objetivo de redirigir al usuario a otras páginas web maliciosas.
- Llamadas telefónicas a cargo de personas que se han hecho pasar por representantes de Crowdstrike o Microsoft.
- Mensajes de phishing enviados por aplicaciones de mensajería desde números que han suplantado la identidad de CrowdStrike o Microsoft.
- Ataques phishing relacionados con reprogramaciones de vuelos, información bancaria y minoristas que aludían necesitar métodos de pago alternativos.
La importancia de la ciberinteligencia en la detección temprana de fraudes
Si bien la mayoría de los fraudes comentados están dirigidos al ciudadano y no tanto a organizaciones específicas, hay muchas acciones que desde las empresas se pueden adoptar para tratar de reducir el impacto de estos.
Al respecto, desde el departamento de Ciberinteligencia y Riesgos Globales de Tarlogic, desde hace años se trabaja en la identificación temprana de casos de fraude. Esta actividad, que va mas allá de los ya conocidas y necesarias detecciones y take down, se basa en la investigación e interacción con:
- Las campañas de fraude.
- Tecnologías que les dan soporte.
- Actores involucrados.
- Patrones seguidos en su despliegue
El conocimiento adquirido durante la investigación permite advertir y bloquear en sus inicios actividades de esta naturaleza que se generen en su suplantación.
Recomendaciones para prevenir los fraudes digitales a ciudadanos
En paralelo, no es menos relevante la necesidad de seguir, como ciudadanos, unas recomendaciones sencillas que permiten reducir nuestra exposición a este tipo de ataques:
- Disponer de una palabra clave que permita identificarnos con nuestro entorno más cercano, haciéndolo conocedor de la existencia de este tipo de fraudes.
- Ante la recepción de un eventual comunicado oficial, salir de este sin hacer ningún tipo de interacción con él y acudir a la web en cuestión o llamar a la empresa que provee ese servicio para comprobar su legitimidad.
- Desconfiar de enlaces y archivos adjuntos de remitentes desconocidos y en caso de identificarlos, no clicar ni abrir ninguno de ellos.
- Utilizar métodos de verificación en dos pasos y nunca compartir contraseñas o códigos de seguridad.
- Realizar todas las transacciones y comunicaciones a través de los canales oficiales que proveen las diferentes plataformas y servicios.
- No aportar ningún tipo de dato personal a terceros bajo ningún tipo de argumento.
- Todo aquel comunicado sospechoso que pueda estar vinculado con la empresa en la que se trabaja, debe ponerse en conocimiento del equipo de ciberseguridad de la compañía.
Este artículo forma parte de una serie de articulos sobre Fraudes digitales
- Counter-Phishing: Anticiparse a los criminales
- Cuentas robadas, apps IPTV y plataformas piratas: Así funcionan los fraudes audiovisuales
- Hackeo de cuentas en redes sociales y creación de perfiles falsos: Nadie está a salvo
- SIM swapping, cuando tu teléfono, y tu dinero, quedan al descubierto
- ¿Cómo realizan los ciberdelincuentes fraudes en el sector turístico?
- ¡Alerta Black Friday! 10 claves sobre los ciberataques contra los e-commerce y sus clientes
- Robo de activos digitales: Dinero fácil para los ciberdelincuentes
- Fraudes de criptomonedas, hackeo de redes sociales, malware e IA
- Oleada de fraudes digitales a ciudadanos