Propaganda
- Lectura de distintas situaciones de la vida real.
- ¿Qué tipo de problemas se pueden generar a
través de internet si no somos cuidadosos?
Robo en una smart-home
A los vecinos de la familia cibernauta les han robado en casa. Al parecer, los ladrones habían hackeado algunos dispositivos conectados a la red con los que monitorizar su actividad. Al ver que llevaban varios días sin conectar la calefacción, asumieron que estaban fuera de casa y entraron para llevarse sus cosas de valor.
Los vecinos de la familia cibernauta son unos fanáticos de la tecnología. Siempre están a la última y han acabado convirtiendo su casa en lo que se conoce como una smart-home, es decir, un hogar inteligente. A este conjunto de dispositivos y tecnologías aplicadas al control y a la automatización de la vivienda, se le conoce como domótica.
En mayor o menor medida, casi todas las tareas del hogar están automatizadas de alguna u otra forma: el robot de limpieza se conecta por la mañana para barrer y limpiar los suelos, el frigorífico se encarga de hacer la compra, el termostato regula la temperatura y las luces se apagan cuando no detectan a ninguna persona en la casa, entre otras muchas cosas.
En definitiva, disponen de un hogar inteligente conectado donde todos los dispositivos intercambian información entre sí para facilitar la vida a los miembros de la familia. Sin embargo, como ya hemos podido comprobar, todo lo que está conectado a la red, no está libre de posibles ataques a mano de los ciberdelincuentes.
En este caso, la familia vecina salió un fin de semana de vacaciones. Al volver de sus días de descanso no podían creer lo que vieron. La puerta de su casa estaba abierta de par en par y sus bienes más preciados habían desaparecido. No tenían ni idea de cómo podía haber ocurrido aquello con un hogar tan preparado. ¿Cómo pudo ocurrir?
A pesar de las mejoras tecnológicas en el hogar vecino, los ladrones habían entrado durante el fin de semana y se habían llevado todas sus cosas de valor. No había sido un robo común, ya que había sido perpetrado por un grupo de ciberdelincuentes que se hacían con el control de los aparatos conectados a la red de este tipo de hogares inteligentes y esperaban el momento oportuno para atacar.
Parece ser, que los atacantes habían conseguido hackear la red wifi del hogar familiar y con ello, les fue muy sencillo controlar el resto de los dispositivos conectados a la misma.
Con toda esta información y monitorizando el flujo de información durante algunas semanas, los ciberdelincuentes solo tuvieron que esperar y al ver la falta de actividad del termostato, intuir que la familia había salido por vacaciones.
Lo más probable es que los ciberdelincuentes estuviesen monitorizando a varias viviendas al mismo tiempo. Tras detectar una irregularidad en las rutinas de los dispositivos de una de ellas, los atacantes se personaron en el lugar, comprobaron sus sospechas y finalmente cometieron el robo.
¿Cuál es la moraleja de la historia?
Si bien es cierto que la tecnología avanza muy rápido y que sus funcionalidades y ventajas son muy atractivas para nosotros, los consumidores, ya que vivimos en la era de la información y esto conlleva unos riesgos. Debemos ser conscientes de que nuestra privacidad puede verse comprometida si no tenemos cuidado.
A la hora de hacernos con este tipo de dispositivos, una de nuestras prioridades a la hora de elegir entre unos y otros es valorar la seguridad de éste, así como sus características técnicas.
Al igual que ocurre con las buenas prácticas en ciberseguridad, debemos mantenernos informados y mantener el software de este tipo de dispositivos siempre actualizado. Suelen incluir mejoras en la seguridad que nos protegerán ante determinados tipos de ataques.
Las opciones de privacidad y seguridad deben ser revisadas con especial atención, ya que en algunos casos podemos estar dando permisos a ciertas acciones que no deseamos en realidad. Por lo tanto, es muy importante que les echemos un vistazo y las configuremos si fuese necesario.
La seguridad de nuestras redes es muy importante. Recuerda cambiar las contraseñas que vienen por defecto tanto para el wifi, como la clave del router. La robustez de las contraseñas, así como el cambiarlas eventualmente supone una diferencia enorme a la hora de convertirnos en víctimas potenciales para los ciberdelincuentes. No olvides que muchos de los dispositivos inteligentes también tienen contraseñas que deben seguir estas mismas pautas.
Por último, mantente informado en materia de ciberseguridad. Dispones de mucha información en Internet sobre cómo proteger tu hogar de los intentos de ciberataques.¿Vives en un hogar inteligente? ¿Te has planteado comprar algún dispositivo inteligente? Comparte tus comentarios, dudas o historias con el resto de los usuarios. Recuerda que la concienciación es cosa de todos y podemos ayudarnos mutuamente.
No hagas clic en todo lo que lees
La historia se centra en el hijo menor de la familia Cibernauta, el cual es muy fan de un actor de Hollywood. De pronto, recibe una noticia sobre la muerte de su ídolo. Rápidamente accede a la red donde está publicada, introduce sus datos y tras leerla detenidamente descubre que es falsa. Aparentemente el incidente no va a más… ¿o sí? Sus datos han sido robados. ¿Cómo ha ocurrido? ¿Qué buscaban? ¿Con qué objetivo?
Como cada día, el hijo menor de la familia “Cibernauta” llegó a su casa tras un día entero de clases muy intensas en la universidad.
Dejó sus cosas en la habitación, se preparó algo de cenar y se sentó en el sofá con su tablet para desconectar un poco de sus clases. Su rutina solía ser la misma todos los días: encender la tablet, mirar algunos vídeos por YouTube, hablar con sus amigos y amigas a través de sus redes sociales, echar una partida a algún juego online y revisar sus emails.
Nuestro protagonista estaba entonces revisando algunos correos electrónicos y notificaciones cuando advirtió que uno de ellos contenía las siguientes palabras: “Jack Pitt” y “Accidente de avión”. Al parecer su actor favorito había sufrido un accidente. Él sabía que estaba rodando una película en Nueva Zelanda, pero ¿podía ser cierto? La noticia lo dejó en shock, no podía creerse lo que estaba leyendo. Además, el cuerpo del correo no profundizaba demasiado en cómo había ocurrido todo. Para ello debía hacer clic sobre un enlace adjunto para conocer los detalles.
Sin pensarlo demasiado, se dispuso a hacer clic sobre el enlace para leer la noticia completa. Tenía que saber cómo, cuándo y dónde había ocurrido el accidente.
Una vez pulsó sobre el enlace adjunto, éste lo redirigió a la pantalla de login de una red social muy conocida. Introdujo el usuario y contraseña de su cuenta, pero la página web lo redirigió de nuevo a la pantalla de login. Tras un breve momento de duda, volvió a introducir sus datos y accedió finalmente a la red social. Para su sorpresa, no había ni rastro de la noticia, simplemente estaba en la pantalla principal donde podía ver las últimas actualizaciones de sus contactos. Fue entonces cuando sospechó que probablemente se tratase de una noticia falsa de las que circulan por Internet y que suelen tener varios años de antigüedad. De todos modos, decidió comprobar otras fuentes y confirmar que, efectivamente, se trataba de un rumor que circuló por la red hace tiempo.
Tras la sorpresa inicial y el alivio al contrastar la noticia, decidió no darle mayor importancia y seguir con su día, tal y como lo tenía planeado. Total, al final todo era mentira y no había pasado nada… ¿o sí?
¿Qué había ocurrido en realidad?
Al introducir su usuario y contraseña en la red social, había caído en la trampa del ciberdelincuente. Éste había creado una web falsa, de aspecto muy similar a una famosísima red social en la que el hijo de la familia tenía una cuenta creada.
El ciberdelincuente se aprovechó del despiste de nuestro protagonista para hacer pasar su web por la red social original y robar los datos de acceso de su cuenta. Sin darse cuenta había sido víctima de una técnica muy utilizada por los ciberdelincuentes para conseguirlos datos de acceso y credenciales de otros usuarios, conocida como phishing.
Mediante la suplantación de otras entidades o webs legítimas en las que los usuarios confían, por ejemplo, un banco, una entidad pública o una red social, los ciberdelincuentes pueden obtener nuestra información personal y bancaria. Aunque la forma más común de propagarse son los correos electrónicos, pueden recurrir a aplicaciones de mensajería instantánea como WhatsApp, SMS y redes sociales.
¿Qué información pueden robarnos?
Por medio de esta técnica, el ciberdelincuente es capaz de hacerse con las credenciales de acceso de la red social de nuestro protagonista, lo que a su vez le da acceso a todo tipo de información tanto del usuario como de sus contactos. Sin embargo, esta técnica puede permitirle robar mucha información valiosa, como:
- Datos personales: o correos electrónicos, datos de localización y contacto o incluso números de documentos de identidad.
- Información bancaria y financiera: Número de tarjetas de crédito o de cuentas bancarias.
- Credenciales de acceso a redes sociales y cuentas de correo electrónico.
¿Cómo debemos actuar ante un phishing?
Los casos de phishing son muy habituales en el día a día. Muchos de ellos no llegan a pasar el filtro de spam y no somos conscientes de los numerosos intentos de ataques a los que estamos expuestos. Aunque el correo electrónico no es el único medio por el que se propagan este tipo de engaños, sí es uno de los más extendidos.
El caso de nuestro protagonista es solo un ejemplo de los distintas variantes y tácticas que utilizan los ciberdelincuentes para tratar de engañarnos. Esto puede ocurrirle a cualquier de nosotros, sin embargo, con un poco de atención y conociendo el modo en el que operan los atacantes, podemos prevenir y detectar estos engaños:
Verifica que la cuenta es original. Debemos comprobar que el email coincide con la empresa que nos envía el correo. Generalmente suelen ser emails desconocidos o que tratan de parecerse al que sería el correo oficial. Por ejemplo: gooogle.com en vez de google.com.
Comprobar la ortografía y los textos. Muchos de los intentos de phishing contienen faltas de ortografía o gramática que no son propios de un correo oficial perteneciente a nuestra entidad bancaria, por ejemplo.
Revisar la URL. Los enlaces a los que nos invitan a entrar deben ser comprobados. Antes de hacer clic, pon el cursor sobre el hipertexto para que te aparezca la url real.
No descargues los archivos adjuntos. Bajo ningún concepto debemos descargarnos ningún archivo que lleve adjunto el email hasta que no estemos seguros de que no se trata de un engaño.
Si sospechamos que hemos sido víctima de un caso de phishing, mantendremos la calma. Lo que debemos hacer es cambiar inmediatamente todas nuestras contraseñas y ponernos en contacto con la empresa o entidad financiera para informarles, en el caso de que hayan podido obtener nuestra información bancaria.
¿Te ha pasado algo parecido alguna vez? ¿Cómo actuaste? Comparte tus historias con el resto de los usuarios, les ayudará a estar prevenidos en situaciones similares.
Facilité mis datos personales a lo loco y cometí un gran error
Tu nombre y apellido, dirección, teléfono, DNI, email, foto e incluso tu voz, son datos personales a través de los cuales puedes ser identificado. ¿Te has parado a pensar cuántos datos personales facilitas al registrarte en una página web? Lucía, la protagonista de esta historia, lo desconocía, y ahora se arrepiente de facilitarlos en ciertas páginas web.
Lucía es una joven que está finalizando su tesis de Químicas. Lleva 4 años investigando cómo reducir los efectos secundarios causados por los tratamientos de los pacientes con cáncer y para ello ha tenido que leer, ver y descargar muchos artículos, videos, presentaciones y ponencias relacionados con los tratamientos ya existentes e investigaciones que se están realizando en la actualidad.
Todo este material está alojado en revistas científicas de tirada online o plataformas privadas que exigen un previo registro para poder visualizar su contenido, ya que poseen derechos de autor.
¿Qué pasó?
Lucía se encontraba ya en la recta final de su tesis, sólo le faltaba añadir algunas referencias a su bibliografía, pero éstas no las había apuntado previamente en ningún sitio cuando las revisó, así que decidió hacer búsquedas en Internet para encontrarlas de nuevo.
Tenía prisa y apenas se fijaba en los sitios web a los que accedía. Algunos portales requerían iniciar sesión o registrarse para ver el contenido, de modo que se registraba sin dudarlo facilitando datos personales (nombre, dirección, teléfono, correo electrónico…), y sin leer lo que aceptaba, marcando todas las casillas que aparecían en los formularios: “acepto los términos y condiciones de la página”, “quiero recibir información semanal de las publicaciones realizadas en esta revista”, “acepto suscribirme a otros servicios que ofrece esta página”…
Al finalizar el día, Lucía revisó su correo personal. Estaba pendiente de recibir un email muy importante de una revista científica, en el que le confirmarían si su último artículo enviado se publicaría o no. Pero cuando abrió su gestor de correo… ¡70 mensajes sin leer! ¿Cómo podía haber recibido tantos en un solo día? ¿Qué había pasado? Muchas direcciones ni siquiera le sonaban de nada. “Y ahora, ¿cómo encuentro el email que me interesa?”, pensó Lucia agobiada. La mayor parte de los correos eran publicitarios, aunque no descartó que alguno tuviese otro objetivo más dudoso, y no mostrar publicidad simplemente. La recepción de tantos correos no se limitó únicamente a ese día, sino que días después, la problemática continuaba, diariamente su buzón se llenaba de decenas de correos no deseados. Y no sólo eso, sino que llegó incluso a recibir folletos de propaganda, a su nombre, en el buzón de su casa.
¿Cuál es la explicación?
Con las prisas, Lucía facilitó demasiada información personal en algunas páginas que vendían o cedían su información a terceros sin informarse correctamente sobre quiénes estaban detrás del servicio ni cómo iban a tratar sus datos recopilados. No leyó la política de privacidad que aceptaba así como el resto de condiciones del servicio y ese fue el principal problema. Todo ello le llevó a perder el control sobre sus datos personales y a suscribirse a infinidad de páginas web que le enviarían publicidad semanalmente, si no se daba de baja.
Nuestra protagonista aprendió una valiosa lección y a partir de entonces, lee siempre bien todas las condiciones del servicio antes de registrarse en una página web.
Cómo puedes prevenir situaciones similares
En esta historia, el mayor error cometido por la protagonista fue no tomarse unos segundos para leer dónde se estaba registrando y para qué estaba autorizando el tratamiento de sus datos personales. Normalmente, esta información se destalla en la sección de términos y condiciones de la página o aviso legal.
Aparentemente, Lucía únicamente recibió publicidad, pero podría haber sido víctima de alguna estafa, facilitando datos personales en páginas fraudulentas cuyo objetivo podría ser recopilar sus datos personales para cometer otros delitos en su nombre, enviarle emails maliciosos, extorsionarla, etc.
Para que a ti no te pase lo mismo, debes fijarte y comprobar si la página es real y fiable. Para ello, puedes observar si la URL es HTTP o HTTPS, ya que siempre que proporciones datos personales es recomendable que el protocolo utilizado para la transferencia de datos sea HTTPS, que indicará que la información viaja cifrada por la Red.
Finalmente es importante que conozcas el tipo de amenazas que circulan para que así puedas tomar precauciones para prevenirte de ellas y navegar seguro por Internet. Por eso te recomendamos mantenerte actualizado suscribiéndote a nuestro boletín de noticias semanales. Y a ti, ¿alguna ver te ha pasado algo parecido? Comparte tu opinión dejando un comentario
¿Has oído hablar del fraude sobre el servicio técnico de Microsoft?
El fraude conocido sobre el servicio técnico de Microsoft que se creía extinto, ha vuelto a retomar auge en los últimos meses, registrándose un aumento del número de víctimas engañadas por esta estafa en España. Jaime, el protagonista de nuestra historia real, es una de estas víctimas, que debido al desconocimiento de este fraude cayó en la trampa.
¿Qué pasó?
Nuestro protagonista, Jaime, es un usuario con un nivel básico en informática. Muchas veces son sus hijos los que le ayudan cuando necesita hacer uso del ordenador, pero este verano mientras ellos estaban de vacaciones, necesitó realizar una búsqueda en Internet. Durante su navegación, le apareció un mensaje de alerta y como no sabía que era, cerro rápidamente la ventana dándole al primer botón que vió, sin leer dónde estaba haciendo clic.
A partir de ese momento, nada volvió a ser igual. Días posteriores volvió a utilizar el ordenador, pero Jaime notó que no funcionaba igual que siempre. ¡Qué lento va este ordenador! Será por el calor o que ya es viejo… De repente, mientras estaba cerrando la ventana del navegador, le apareció una pantalla azul con un mensaje de alerta, indicando que se había detectado actividad maliciosa en su ordenador y para solucionarlo debía llamar a un número de teléfono.
Jaime, asustado, decidió llamar. Tenía que solucionar el problema cuanto antes, ya que su equipo tenía mucha información que no podía perder, además tampoco tenía ninguna copia de seguridad de sus datos.
Marcó el número de teléfono que le aparecía en el mensaje de la pantalla azul y un operador respondió a su llamada. El operador no hablaba muy bien español, pero Jaime aún así no dudó en explicarle su problema. El operador se identificó como el servicio técnico de Microsoft y muy amablemente le indicó los pasos que debía seguir para solucionar el problema.
Modus-operandi
El operador, al que llamaremos ciberdelincuente a partir de ahora, le facilitó una página web donde podía descargar una herramienta que le concedería privilegios para poder controlar de forma remota el equipo, para así poder analizar el problema y solucionarlo. Jaime así lo hizo y su equipo empezó a funcionar sin que él tocase nada. El ciberdelincuente le indicó que necesitaba instalar otra herramienta para que el ordenador volviera a funcionar con normalidad, pero que debía realizar un pago previo y para ello, le tenía que facilitar los datos de su tarjeta de crédito.
Ante esto, a Jaime le empezaron a surgir dudas sobre la veracidad del supuesto servicio técnico, ya que él había pagado su licencia de Microsoft cuando compró su ordenador y no estaba dispuesto a pagar nada más y mucho menos a facilitar los datos de su tarjeta de crédito. El ciberdelincuente al oír la negativa, le increpó de forma amenazante, indicándole que su equipo se mantendría bloqueado hasta que no realizase el pago, ya que él tenía el control total sobre él.
Jaime asustado y preocupado por la información personal que tenía guardada en su ordenador le facilitó los datos y el supuesto técnico de Microsoft le instaló una herramienta para limpiar el equipo y eliminar el malware que tenía instalado. Posteriormente, el ciberdelincuente le envió al correo electrónico una factura falsa con los datos de trabajo realizado y la cuantía pagada, la cual ascendía a unos 283 euros.
¿Cómo actuó tras la estafa?
Con su equipo ya limpio de malware, Jaime empezó a buscar en Internet casos parecidos al suyo y todos los testimonios encontrados coincidían en que había sido estafado.
Al darse cuenta de lo sucedido, rápidamente contacto con su banco para intentar bloquear el cargo en su tarjeta de crédito.
Por otro lado, también interpuso una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado facilitándoles todas las evidencias que tenía, como el número de teléfono al que llamó y la factura recibida.
A los pocos días, cuando sus hijos regresaron de las vacaciones, le ayudaron a hacer una copia de seguridad de los datos que tenía en el ordenador y posteriormente a realizar un formateo completo para eliminar cualquier rastro de malware que pudiese seguir instalado. También instalaron un antivirus para que su ordenador se mantuviese protegido de cualquier amenaza.
Para que Jaime estuviese al día de cualquier tipo de estafa o fraude, sus hijos le recomendaron que se suscribiese a los boletines de la OSI para mantenerse siempre alerta y no volver a caer en otro engaño.
Jaime aprendió una lección muy valiosa de todo lo sucedido. Ahora te toca a tí contarnos si alguna vez te ha pasado algo similar. ¡Déjanos tu comentario!
¡SOS! Alguien ha creado un perfil con mi foto
El protagonista de nuestra historia real es un joven atractivo, con una sonrisa perfecta y una gran simpatía. Él considera que no tiene enemigos, pero algo sucedió que le hizo pensar lo contrario.
Mario es un chico al que le encanta ir al gimnasio, cuidarse y dedicar su tiempo libre a sacarse fotos para subirlas a su red social favorita. Mario es precavido, conoce los peligros que existen en Internet y su perfil es privado, aunque admite que tiene seguidores que nunca ha visto en persona.
¿Qué sucedió?
Una noche, antes de dormir, estaba hablando con uno de sus amigos cuando recibió una captura de pantalla de una foto suya en un perfil de Tinder que él desconocía. Mario no tenía cuentas en aplicaciones de citas, ni ahora ni en el pasado.
Cuando vio la foto, no podía creer lo que le estaba sucediendo, alguien había cogido una de sus fotos de Instagram y había creado un perfil en Tinder con ella. Su nombre no era el mismo, ni su edad, ni su localización, pero si su cara. Esa era una de sus mejores fotos, se la había sacado una fotógrafa amiga suya y había quedado muy profesional.
Al principio, sintió un gran enfado porque no podía entender cómo le estaba pasando esto. A él, que nunca se metía con nadie. Era una situación surrealista, no podía creer que alguien estaba suplantando su identidad.
¿Cómo actuó?
Lo primero que hizo fue preguntar a la persona que había localizado la foto que si le podía dar más información, ya que, él no tenia perfil en Tinder. Su amigo le dijo que el perfil no tenía una descripción completa, solo los campos requeridos, y que él ya había denunciado el perfil en la opción que ofrece la aplicación en el menú que aparece junto a la foto.
Pero Mario no se quedó tranquilo y decidió contactar personalmente con los administradores de la aplicación de citas. Así que empezó a realizar búsquedas en Internet para localizar la página de contacto de Tinder, hasta que la encontró. Localizó la página con un listado de direcciones de correo electrónico para poder contactar con ellos en función del motivo. Identificó el que más se adaptaba a su problema, en este caso help@gotinder.com, y envió un correo explicando lo sucedido. A la mañana siguiente el equipo de ayuda de Tinder le contestó solicitándole algunas evidencias para confirmar que realmente era él la persona de la foto suplantada y de este modo en las 24 horas siguientes el perfil fue eliminado de la red de citas.
Conclusión
En este caso, Mario supo reaccionar a tiempo y solucionó el problema rápidamente, pero aprendió una valiosa lección. A partir de ese mismo día, hizo limpieza entre sus seguidores y se quedó con los que realmente conocía en persona y consideraba amigos. También empezó a limitar las fotos que subía de si mismo. Posiblemente perdería popularidad en la red social, pero después de lo sucedido, lo único que le interesaba era proteger su imagen y que nadie estuviese aprovechando su físico para ligar, tal y como le había sucedido.
Otros casos similares
Por ejemplo, imagina que alguien te quiere gastar una broma y pone tu teléfono como contacto en un producto de venta en Milanuncios. Esta práctica es denunciable. Solo tienes que acceder a su página de contacto y elegir entre uno de los motivos de denuncia que ofrecen (https://www.milanuncios.com/contacta/). De este modo, los administradores de la página eliminarán el anuncio y bloquearán el perfil que ha creado la estafa.
Otro caso muy común, es la creación de perfiles falsos suplantando la identidad de otra persona que ya posee un perfil en la red social. Imagina que alguien se crea un perfil con tu mismo nombre, apellidos, foto de perfil y portada en Facebook. Esta red social dispone de un servicio de ayuda (https://www.facebook.com/help/) donde poder denunciar estos casos de suplantación de identidad.
Todas las redes sociales disponen de una opción de denuncia o contacto, para poder denunciar una suplantación de identidad o un mal uso de la red social, similar a la opción que ofrece Facebook.
Es recomendable realizar de vez en cuando egosurfing para identificar si existen datos personales nuestros por la red, haciendo búsquedas de nuestro nombre, dirección, teléfono, DNI, etc.
No eres mejor persona por tener más seguidores o subir fotos tuyas posando como si fueses un modelo de pasarela. En Internet hay muchos usuarios con muy malas intenciones difíciles de controlar debido al anonimato que proporciona estar detrás de una pantalla.
Y a ti, ¿te ha pasado algo parecido alguna vez? Si es así, cuéntanoslo en un comentario.
Quería hacer nuevas amistades pero encontré algo muy distinto
Carol, la protagonista de nuestra historia, decidió descargarse una aplicación para hacer nuevas amistades. Pensó que había hecho un nuevo amigo con quien poder charlar, pero el objetivo de su nuevo amigo no era el que ella esperaba…
Carol acaba de mudarse a una nueva ciudad por motivos de trabajo. Sus nuevos compañeros de oficina son ya muy mayores como para salir de fiesta o a tomar algo después del trabajo y tampoco conoce a nadie en la ciudad. Ella es una chica muy social e inquieta y no le gusta quedarse en casa viendo la tele. Ha oído hablar de una app para conocer gente nueva, así que decide descargársela y crearse un perfil. Pone una foto de perfil no muy llamativa, ella realmente solo busca amistad, alguien con quien poder entretenerse y charlar un rato, así que una foto de su cara sonriente y una breve descripción de sus aficiones valdrá.
Pasan los días… ella entabla conversación con chicos que no le ofrecen mucha confianza así que no les hace caso y las conversaciones se quedan en un intercambio de “Hola”, “¿Qué tal?”, “¿A qué te dedicas?”, pero… hace unos días ha empezado a hablar con un chico. Le parece bastante majo, no es como los otros, y además le ha dicho que vive cerca de ella, en un pueblo a solo unos kilómetros de su ciudad. También, le ha contado que su madre es andaluza y su padre francés, ¡menuda mezcla! ¿No? Este mes ha tenido que viajar a Benín, un país africano, por temas de trabajo, ya que, es comerciante de madera. Su nuevo amigo le pide su número de móvil. Le dice que es para no tener que conectarse a la aplicación por la que se han conocido cada vez que quiera hablar con ella, no se pueden poner “emojis”... Nuestra protagonista, le pasa su número de teléfono sin dudarlo, total que más da hablar con un sitio que por otro, piensa Carol, y al rato le llega un mensaje de un número raro por WhatsApp, es un número de Benín. Ella supone que ha tenido que comprar una tarjeta móvil de allí para que le salgan las llamadas más baratas. Siguen hablando varios días más y se intercambian algunas fotos, ¡nada subido de tono!, recordemos que Carol solo busca hacer nuevos amigos en la cuidad…
¿Dónde está el fraude en esta historia?
Un día por la mañana, Carol se encuentra un mensaje de su nuevo amigo pidiéndole ayuda. Resulta que él se había olvidado su cartera en un restaurante la noche anterior y cuando volvió a buscarla ya no estaba. En ella tenía la documentación, la cual le había proporcionado la embajada española, que le acreditaba el motivo de la estancia en ese país. El gerente del hotel en el que se encontraba le había solicitado la documentación extraviada pero, tampoco podía solicitar un duplicado porque le costaba dinero y tenía sus cuentas bancarias bloqueadas. Así que le pedía 200 euros a Carol para poder volver a España.
¿Cuál fue la reacción de la protagonista?
Al leer esto, Carol se asustó y le bloqueó de inmediato. Se lo comentó a una amiga y ambas buscaron información por Internet. Encontraron historias parecidas muy típicas de la zona de África. Aparte de bloquear el contacto en WhatsApp, se descargó una aplicación de bloqueo de llamada para evitar recibir llamadas de ese número de teléfono. Cuando Carol volvió a entrar en la aplicación por donde le había conocido, descubrió que el perfil ya no existía.
Aparte de tomar las medidas adecuadas para protegerse de otro posible intento de contactar con ella, nuestra amiga Carol también decidió ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado. Envió un correo explicándoles la situación y adjuntó capturas de pantalla para dar veracidad a su historia.
¿Cómo debemos actuar ante este tipo de fraudes?
En esta ocasión, la historia no tuvo más transcendencia porque afortunadamente Carol reaccionó adecuadamente. Al momento identificó la gravedad de los hechos, y en lugar de acceder y ofrecerle su ayuda, sospecho que algo no era normal y actuó con sentido común. También lo puso en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia. Concretamente denunció de manera online a través de la web del Grupo de Delitos Telemáticos de la Guardia Civil.
Si en alguna ocasión, te ves envuelto en una situación similar, recuerda como debes actuar:
No cedas bajo ningún concepto a las peticiones de la otra persona, por muy convincentes que parezcan, ya que, además de no conocerle en persona ni saber sus intenciones, no hay garantías de que no te vuelva a pedir dinero de nuevo una vez realizado un primer pago.
Ignorar posibles mensajes que te puedan llegar tras el intento de engaño, especialmente si proceden de usuarios que desconoces. Esa misma persona u otras, podrían intentar contactar de nuevo contigo bajo otra identidad.
Recopila todas las evidencias del posible fraude: capturas de pantalla de las conversaciones, posibles fotos, perfil de red social que utilizó, etc.
Reporta el perfil falso ante la red social o plataforma donde esté alojado para que procedan a su eliminación.
Es importante recordar que con técnicas de ingeniería social pueden engañarnos fácilmente para hacernos creer cosas que no son en el mundo online, por tanto, no nos olvidemos de aplicar el sentido común y prestar mucha atención para que no acabemos envueltos en situaciones que nos pongan en riesgo.
Y tú, ¿has conocido a alguien mediante alguna app? ¿Confiaste el ella? ¿Te has llevado alguna desilusión? ¿Crees has corrido algún peligro? Anímate y cuéntanos tu historia
Nuevos tiempos, nuevos fraudes: phishing unicode
En nuestra historia real de hoy queremos contaros el caso de Asun, cuyo intento de recuperar su smartphone robado estuvo a punto de salirle muy caro ya que casi pica ante un nuevo tipo de fraude: el phishing unicode.
Asun se había levantado en una mañana de sábado con la intención de hacer un poco de ejercicio. Unos largos en la piscina le vendrían muy bien para estirar su castigada espalda debido a la cantidad de horas que permanece sentada en su silla de oficina.
Finalizada la sesión de piscina, como cada sábado, Asun se dirigió a su cafetería de confianza para desayunar con su amiga Cristina. Mientras ésta pedía dos desayunos, Asun se levantó con intención de añadir a esta petición dos zumos naturales, cometiendo el error de dejar su bolsa de deporte encima de la mesa, sin ninguna vigilancia. A pesar de llevar su cartera en la mano para pagar la cuenta, su móvil quedó expuesto en una rejilla transparente situada en uno de los extremos de la bolsa. Cualquiera que pasara en ese momento por esta mesa, podría llevarse el móvil sin apenas levantar sospechas.
Y así ocurrió, pero Asun no se dio cuenta hasta salir de la cafetería. Su disgusto era mayúsculo, le habían robado su flamante Iphone 6S. Acto seguido, con el móvil de su amiga Cristina, buscaron por Internet información sobre cómo localizar un dispositivo robado iPhone comprobando que con el modo “Perdido” que ofrece iCloud, podrían localizar el móvil (en caso de estar encendido), bloquearlo de forma remota y también enviar un mensaje personalizado al mismo para informar al ladrón o la persona que lo encontrase, que el teléfono estaba bloqueado y que procediesen a la devolución siguiendo las indicaciones del mensaje.
Así pues, Asun envió un mensaje a su móvil con intención de que se lo devolvieran:
Los usurpadores del móvil, tras ver el mensaje, y ser conocedores de esta opción de recuperación del dispositivo que facilita iCloud, pusieron en marcha su plan B para robar las credenciales de dicho servicio a Asun y así hacerse con el control del teléfono.
Para ello hicieron uso de un servicio mediante el cual se puede proceder al envío de un SMS o email suplantando a una entidad original, en este caso Apple, para solicitar las credenciales originales de acceso al servicio de iCloud de Asun.
Y así fue… al teléfono de Cristina, la amiga, llegó el siguiente SMS:
Asun pensó que se trataba del servicio de localización de su teléfono, por lo que nerviosa por saber su ubicación accedió al enlace. A continuación se abrió una página con la web de iCloud… o eso parecía aparentemente.
Una de las cosas que Asun sabía es que cualquier web en las que hubiera que introducir credenciales, debía contar con certificado de seguridad y empezar por https. En esta ocasión, a simple vista así era: aparecía candado verde en el navegador y la url comenzaba por HTTPS. Sin embargo, rápidamente se dio cuenta que algo en la dirección no estaba bien. Aunque aparentemente parecía ser la web de iCloud, en la URL había un puntito que le parecía cuanto menos sospechoso.
Además, al pinchar sobre el candado verde para comprobar el certificado, detectó que la URL no era la legítima de iCloud, sino otra que nada tenía que ver.
¿Cómo han podido hacer esto los ladrones?
Han creado una página fraudulenta de tipo phishing en el que la URL en lugar de ser letras del código ASCII, contiene caracteres de tipo cirílicos, que a simple vista tienen el mismo aspecto, pero sin embargo tiene diferente representación Unicode. A este tipo de ataque también se le conoce como phishing homográfico o ataque de phishing mediante el uso de caracteres Unicode.
Por otro lado, para dotar de mayor credibilidad al fraude, han utilizado una autoridad certificadora que expide certificados gratuitos (Let’s Encrypt). De esta forma, el usuario ve el candado verde y el https en la URL.
¿Cómo acaba nuestra historia?
Al mismo tiempo que Asun se percataba del engaño, los ladrones del móvil pensando que Asun les enviaría sus credenciales con el engaño dejaron encendido el dispositivo, de tal forma que Asun pudo ver la localización exacta de su teléfono. Denunció lo sucedido y con la ayuda de las Fuerzas y Cuerpos de Seguridad del Estado, pudieron acudir al lugar donde la señal se encontraba activa y localizar a los ladrones y recuperar el teléfono.
Además de este tipo de phishing, se siguen detectando páginas fraudulentas que intentan suplantar a Apple o iCloud. Los ciberdelincuentes no descansan a la hora de conformar engaños para robarte las credenciales:
No hay comentarios:
Publicar un comentario
Gracias por su comentario!!!.