Si hay algo más valioso para los hackers y las organizaciones que están detrás en esta era de la Información son nuestros datos, y no para estudios de mercado u otros fines legítimos, sino para fines mucho más lucrativos y fuera de la ley, engañando al usuario mediante el método conocido por el término anglosajón de "phishing" (suplantación), que consiste en remitir correo masivo en nombre de una entidad (pública o privada) requiriendo la realización de una serie de acciones para subsanar un asunto administrativo, incluso utilizando las marcas y diseños que las propias empresas utilizan en su política corporativa.
Con las prisas que esta sociedad tiene, aprovechan esta situación para que el internauta con solo un vistazo confíe y se deje guiar por el texto del correo electrónico en el que, básicamente, le remitirá mediante un enlace incluido hacia la supuesta web oficial de esa empresa (no siendo así) donde, siguiendo imitando el diseño corporativo, nos llevará directamente a un formulario para que introduzcamos el nombre de usuario y contraseña y ya ahí, dando al Intro o al botón de "Iniciar sesión" (o similar), ya comenzará a notar el cliente que algo no va bien. Y será ya, en ese momento, cuando será demasiado tarde porque el hacker ya habrá obtenido nuestros datos personales de acceso y él podrá acceder con ellos a la página oficial y empezar a operar como si fuéramos nosotros mismos.
Quizás ahora piense el lector: ¿puede evitarse? ¿hay protección? La respuesta a ambas preguntas es sí, y para ellos nos ayudará la quizás poco conocida Oficina de Seguridad Ciudadana (OSI) dependiente del Instituto Nacional de Ciberseguridad (INCIBE). Esta oficina, gracias a su página web, emite avisos actualizados y sus soluciones, nos permite estar protegidos en todo momento.
Siendo las últimas alertas emitidas sobre este tipo de fraude las de los ataques realizados como el banco online ING y la Agencia Central de Inteligencia norteamericana (CIA).
ING
En este caso utilizan el pretexto de que el usuario debe actualizar sus datos personales bajo el asunto "Verificación de datos personales" (o similar) para poder continuar haciendo uso de su producto online.
Los afectados serán aquellos que, siguiendo el enlace existente ("Área de clientes") dentro del email, faciliten sus datos de acceso en la web suplantada.
Las recomendaciones generales que se suelen dar para este tipo de delito son:
- No contestar ni abrir correos desconocidos o que no hayan sido solicitados, siendo la mejor opción eliminarlos directamente.
- Tener cuidado con los enlaces y descarga de ficheros adjuntos de correos, aún de conocidos.
- Si no tienen certificado (esto es que su dirección web no empiece por https://) o su dirección no es la oficial, no hay que facilitar ningún tipo de información personal.
- Seguir las indicaciones de seguridad que nos indique nuestro banco.
- Usar siempre la app oficial del banco.
- No acceder mediante dispositivos o redes Wifi públicas.
- En caso de duda, ponerse en contacto directo con el banco o consultar las alertas emitidas por las Fuerzas y Cuerpo de Seguridad del Estado o la propia Oficina de Seguridad Ciudadana (OSI).
Sin embargo, si pese a la cautela se es víctima, hay que contactar rápidamente con ING para comentar lo sucedido.
CIA
Este último caso es similar al anterior (usa el Asunto “Central Intelligence Agency - Case #81927364”, el número puede variar), aunque con el agravante de intento de extorsión a la persona que lo recibe (usan remitentes que hacen referencia a la CIA), acusándole de un supuesto delito infantil (en inglés). Los hackers amenazan con que si no se realiza el pago de una determinada cantidad de dinero en bitcoins se realizará el arresto.
Las recomendaciones a llevar en este supuesto son más o menos como las anteriores, añadiendo además la de utilizar distintas contraseñas en cada servicio y, muy importante, nunca contestar ni pagar, ya que si se realiza, informamos al estafador de que esa cuenta está activa y puede volver a enviar nuevos fraudes.
