No responda ¡°s¨ª¡± por tel¨¦fono: los robos de datos recientes avivan las campa?as de fraude masivo

La ¨²ltima oleada de intentos de robos de datos a empresas e instituciones con millones de clientes, como Ticketmaster o la energ¨¦tica espa?ola Iberdrola o la Direcci¨®n General de Tr¨¢fico, no tiene solo como objetivo la extorsi¨®n a estas grandes entidades. La verdadera mina est¨¢ en la informaci¨®n de miles de usuarios, que son las v¨ªctimas del 84% de las estafas por internet. A partir de ahora puede recibir centenares de correos falsos, ofertas incre¨ªbles y llamadas sospechosas. No responda con la palabra ¡°s¨ª¡±. Los ciberdelincuentes pueden grabarle y utilizarlo para usurpar su voz en la compra de bienes por tel¨¦fono o la contrataci¨®n de productos financieros. Las fuerzas de seguridad y el Instituto Nacional de Ciberseguridad (Incibe) llevan un a?o advirtiendo de estas estafas. Desde ahora, responda ¡°hola¡± y, si la conversaci¨®n deriva a preguntas que persiguen una respuesta con un ¡°s¨ª¡±, evite la palabra, cuelgue y denuncie.

¡°Las llamadas telef¨®nicas siguen siendo una forma com¨²n de comunicaci¨®n e, independientemente de qui¨¦n nos realice una llamada (amigos, familiares o desconocidos), es habitual responder con un simple s¨ª. Sin embargo, pocos somos conscientes de los riesgos ocultos que pueden surgir al dar una respuesta tan aparentemente inofensiva¡±, advierte el Incibe en su blog y replica la polic¨ªa en sus redes.

As¨ª funciona la estafa del ¡°s¨ª¡±:

Llaman. Los ciberdelincuentes llaman a la potencial v¨ªctima afirmando ser de su banco o de un servicio de venta o de atenci¨®n al cliente e incluso de la compa?¨ªa de su ordenador o tel¨¦fono. Puede hacer que el n¨²mero que figura en su pantalla coincida con el de estas entidades y, como ya tiene acceso a sus datos robados, intenta generar confianza en la v¨ªctima aportando informaci¨®n de la que dispone la entidad. Si ha respondido ¡°s¨ª¡± solo al descolgar, los ciberdelincuentes ya tienen lo que quer¨ªan y cuelgan. Si responde ¡°hola¡±, ¡°d¨ªgame¡± o con cualquier otra expresi¨®n, intentar¨¢n continuar la conversaci¨®n.

Preguntan. En este caso, el estafador establecer¨¢ un di¨¢logo que busca su respuesta afirmativa e inequ¨ªvoca. Quieren un ¡°s¨ª¡±. Puede ser: ¡°?Quiere este producto a un precio incre¨ªble por ser cliente?¡± o ¡°?est¨¢ usted casado? o ¡°?piensa ir de vacaciones este verano?¡±. El ciberdelincuente necesita grabar la respuesta de forma inequ¨ªvoca, as¨ª que lo intentar¨¢ varias veces si no lo consigue a la primera y espaciar¨¢ el tiempo entre pregunta y respuesta para obtener la grabaci¨®n.

Usurpan. Una vez obtenida la voz de la v¨ªctima, el estafador intentar¨¢ utilizarla para darse de alta en alg¨²n servicio bancario telef¨®nico en nombre de la v¨ªctima o comprar alg¨²n producto en su nombre a trav¨¦s del m¨®vil.

Qu¨¦ hacer

Una de las primeras medidas es cambiar el h¨¢bito de respuestas y no contestar con un ¡°s¨ª¡±

Pero si lo ha hecho y sospecha de un intento de estafa, cuelgue sin aportar m¨¢s datos personales. No favorezca la comunicaci¨®n ni siga sus indicaciones sobre informaci¨®n personal o para pinchar en alg¨²n mensaje o correo que le env¨ªen durante la llamada o despu¨¦s de esta.

Si en su tel¨¦fono figura el nombre de una entidad de confianza como llamante, p¨®ngase en contacto con la misma para verificar que es esta la que est¨¢ detr¨¢s de la llamada.

Cambien las contrase?as de acceso a sus cuentas comerciales o financieras por otras ¨²nicas para cada servicio y complejas (n¨²meros, letras may¨²sculas y min¨²sculas y s¨ªmbolos gr¨¢ficos). Realice tambi¨¦n un seguimiento ese d¨ªa y los siguientes de las mismas. Si detecta alg¨²n movimiento sospechoso informe a la entidad.

Compruebe si sus datos de usuario y contrase?a se han visto comprometidos. Hay herramientas gratuitas como haveibeenpwned.com o el servicio de revisi¨®n de contrase?as de Google.

Si detecta una actividad sospechosa, guarde cualquier archivo relacionado con la estafa como n¨²meros del llamante, correos o mensajes que puedan estar relacionados con el delito para informar a las autoridades y tener pruebas de la estafa en caso de reclamaci¨®n.

Denuncie si se produce la estafa ante las Fuerzas y Cuerpos de Seguridad del Estado y proporcione todos los detalles y evidencias.

Esta t¨¦cnica de fraude se conoce como vishing (enga?o mediante el uso de la voz) y utiliza ingenier¨ªa social para hacerse pasar por una entidad de confianza en la llamada y tecnolog¨ªas de la informaci¨®n para suplantarle en la contrataci¨®n o compra de bienes y servicios.

Los ciberdelincuentes no solo usurpan la identidad de compa?¨ªas privadas. Tambi¨¦n pueden hacerse pasar por agentes que reclaman el pago de una infracci¨®n, por el servicio postal por un falso paquete recibido e incluso por la Agencia Tributaria para informar de una devoluci¨®n inexistente.

Aumento de la incidencia del enga?o

El Informe Phishing [enga?o] 2024 de la compa?¨ªa de seguridad Zscaler revela un ¡°aumento interanual de casi el 60% en ataques de phishing a nivel global promovidos, en parte, por la proliferaci¨®n de la inteligencia artificial generativa¡± para suplantar correos, sms, la voz o incluso im¨¢genes mediante v¨ªdeos falsos hiperrealistas.

¡°El phishing sigue siendo una amenaza persistente y, a menudo, subestimada dentro del panorama de la ciberseguridad, pese a que se vuelve cada vez m¨¢s sofisticada a medida que los actores de amenazas aprovechan los avances de vanguardia en IA generativa y manipulan plataformas de confianza para intensificar los ataques¡±, destaca Deepen Desai, jefe de investigaci¨®n de seguridad de Zscaler.

Jurgen Kutscher, vicepresidente de Mandiant Consulting en Google Cloud coincide: ¡°Cada cierto tiempo, los atacantes ponen al d¨ªa las t¨¢cticas y procedimientos que utilizan para lograr sus objetivos, lo cual supone nuevos desaf¨ªos para los equipos de seguridad¡±.

Seg¨²n el informe anual de esta compa?¨ªa sobre Europa, Oriente Medio y Asia (EMEA), los exploits [programas que aprovechan un error o una vulnerabilidad de una aplicaci¨®n o sistema para provocar un comportamiento involuntario o imprevisto] y el phishing siguen siendo amenazas clave, con una incidencia de entre el 16% y el 36%.

La empresa Check Point advierte que una de las t¨¢cticas comunes para el enga?o es suplantar a una autoridad. ¡°Por ejemplo¡±, explica la compa?¨ªa, ¡°el atacante puede fingir estar llamando para cobrar impuestos impagados. El miedo a las consecuencias puede hacer que las v¨ªctimas hagan lo que el atacante les dice. Este tipo de ataques costaron a las v¨ªctimas 124 millones de d¨®lares en 2020, solo en Estados Unidos.

En este sentido, Marc Rivero, jefe de investigaci¨®n de seguridad de Kaspersky advierte: ¡°El phishing sigue siendo una amenaza constante en el panorama digital que evoluciona constantemente para enga?ar a usuarios desprevenidos. Nuestra mejor defensa es la vigilancia y el escepticismo. Pero tambi¨¦n reconocemos que la lucha es un esfuerzo conjunto que requiere la colaboraci¨®n de usuarios, empresas y autoridades. Es fundamental ser cautos, verificar antes de acceder a los enlaces y proteger nuestra identidad digital para garantizar la seguridad de todos¡±.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.