Los teléfonos móviles son “una herramienta” ya esencial en nuestras vidas. Con ellos, la función y razón principal de los mismos, la comunicación mediante llamadas de voz, ha quedado incluso en un segundo plano para dar paso a otras formas de comunicación, en lo más extenso de la palabra. Esto, junto al incalculable desarrollo de los sistemas informáticos, ha derivado en un mundo basado en la hiperconectividad, de la que pocos usuarios están ajenos.
Por descontado, esto nos ha proporcionado toda una serie de facilidades, ya no sólo en la comunicación, sino en muchos otros ámbitos de la vida cotidiana, de lo que hemos sacado aún más provecho a raíz de la pandemia del COVID-19, cuando los usuarios hemos incrementado, incluso, podríamos decir, casi por obligación, nuestra presencia “online”. Desde el acceso al teletrabajo, pasando por las compras en comercios situados hasta en el otro lado del planeta tierra sin movernos de nuestros domicilios, hasta realizar nosotros mismos todas las gestiones bancarias que nos sean necesarias. Pero debemos saber y tener en cuenta que todas estas posibilidades están expuestas a una serie de peligros que, en muchos casos, pueden generar un grave perjuicio al consumidor y usuario.
Ciberdelincuencia. ¿Qué es?
Para hablar de los peligros a los que estamos expuestos como usuarios de las telecomunicaciones, sistemas informáticos e Internet, es imprescindible conocer qué es la ciberdelincuencia, ya que de ella nacen todos los tipos de estafas, fraudes, robos, suplantaciones de identidad, acoso, etc. Que son llevados a cabo a través de los mismos.
La ciberdelincuencia es la actividad delictiva operada, como decíamos, a través de Internet o mediante un sistema informático, que tiene como objetivo atentar contra las redes, los datos personales, la confidencialidad de éstos y la integridad de los usuarios, haciendo un uso fraudulento de dichos sistemas, redes y datos. La existencia de estos tipos de delitos, generó la completa necesidad de una contraposición para combatir los mismos. Y de ello nació la “seguridad de la información”.
La seguridad de la información.
Podemos describir la seguridad de la información como el conjunto de medidas preventivas destinadas a proteger la información digital que se encuentra en la red. Dentro de ella, encontramos, haciendo frente a la ciberdelincuencia, la “ciberseguridad”, definida por la National Initiative for Cybersecurity Careers and Studies (NICCS), como “la actividad o proceso, capacidad o estado por el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso no autorizado, modificación o explotación.”
Pero, ¿a quién corresponde velar por la seguridad de nuestra información?
La Agencia de Seguridad Cibernética de la UE (ENISA), es la agencia de la Unión Europea encargada de velar por un alto nivel común de ciberseguridad en toda Europa. Desde su creación, en el año 2004, y apoyándose en el “Reglamento sobre la Ciberseguridad de la UE”, contribuye, entre otras importantes labores, a proteger a la sociedad y a la ciudadanía europea de las amenazas digitales.
Igualmente, España cuenta con su propio Instituto Nacional de Ciberseguridad (INCIBE), el cual, como establecen en su propia página web, “es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital en el sector privado” en España.
Uno de los proyectos más útiles de los llevados a cabo por el INCIBE, fue la creación, en 2016, junto con el Boletín Oficial del Estado, del primer “Código de Derecho de la Ciberseguridad”, donde se compilaron, (y se siguen añadiendo), todos aquellos artículos, disposiciones y leyes relacionadas con la ciberseguridad que hagan referencia o tengan que ver con las nuevas tecnologías. La necesidad de creación de este Código surgió como consecuencia de la completa dispersión del articulado que hace referencia a este ámbito dentro del Código Penal, que hasta día de hoy es el que recoge y tipifica los delitos informáticos en España.
Vishing, Phishing y Smishing.
Como indicábamos al inicio, la pandemia producida por el COVID-19, ha generado un claro incremento de la presencia de usuarios “en línea”, y los ciberdelincuentes han sabido sacar un buen partido de ello. De aquí el auge de estafas como el “vishing”, el “phishing” y el “smishing”.
El “vishing”.
El vishing es una estafa llevada a cabo a través de llamadas telefónicas en las que los delincuentes suplantan la identidad de empleados de una compañía para obtener información personal del usuario. Se utilizan diversos argumentos para manipular psicológicamente a la víctima, haciéndole creer que realmente se les realiza la llamada desde un call center. Además, recopilan previamente información de la misma para que la llamada resulte más verosímil.
Los tres escenarios más comunes utilizados para llevar a cabo este tipo de delito, se presentan de las siguientes maneras:
- Ofreciendo una oferta maravillosa “al cliente” que no puede “dejar escapar”,
- Avisando al usuario de que se está produciendo un problema de carácter urgente en su cuenta bancaria, el cual urge solucionar en el más breve espacio de tiempo posible.
- Informando al consumidor de que ha sido el ganador de un sorteo o de un cheque regalo.
De esta forma, consiguen que la víctima facilite sus datos personales y privados al ciberdelincuente, sin darse cuenta de que se está produciendo una estafa.
En algunas ocasiones, incluso se manipula al usuario con el objetivo de que éste instale en su terminal móvil u ordenador personal una determinada aplicación o programa, con el que el supuesto personal de la compañía va a solventarle “el problema” presentado. Con ello, los delincuentes consiguen acceder igualmente a los datos privados de las víctimas.
El “phishing”.
El phishing es una estafa que consiste en el envío de un correo electrónico a la víctima, en el que el ciberdelincuente suplanta la identidad de una compañía, con el objetivo de solicitar y obtener información personal de la misma.
Como podemos observar, el fin es el mismo que en el vishing, con la única diferencia de que el phishing se realiza por correo electrónico y no por llamada telefónica.
Mediante un enlace incluido en el correo electrónico, redirigen al usuario a una página web fraudulenta, en la que se le solicitan sus datos personales y bancarios. De la misma manera que ocurre en el vishing, para que la comunicación sea realmente verosímil, utilizan de las compañías a las que se encuentran suplantando la identidad, los logotipos, así como los interfaces habituales utilizados por éstas en sus aplicaciones y sitios web. Sin embargo, por norma general, suelen contender errores ortográficos y gramaticales, que pueden generar una sospecha al consumidor sobre los mismos.
En otras ocasiones, el citado correo electrónico puede incluir un archivo adjunto infectado, el cual permite robar igualmente la información privada de la víctima.
Además, las técnicas de phishing han ido evolucionando, llegando incluso a efectuarse este tipo de delito a través de códigos QR. Éstos nos pueden remitir a webs fraudulentas, introducir en nuestros dispositivos móviles un software malicioso o incluso hackear nuestro inicio de sesión en aplicaciones que se inicien con dicho código.
El “smishing”.
El smishing se lleva a cabo a través del envío de mensajes fraudulentos, mediante SMS y la aplicación de mensajería instantánea WhatsApp, en los que los delincuentes suplantan la identidad de una compañía, informando a los usuarios sobre promociones, premios, actualizaciones o verificación de información bancaria o en el acceso al área de cliente de una compañía, devolución de importes o paquetes que no han podido ser entregados, entre otros, que son realmente falsos, con el objetivo de conocer sus datos personales y bancarios.
Al igual que el el vishing y en el phishing, estas comunicaciones se realizan normalmente con un tono de urgencia y apremio que los caracteriza, para que al usuario no le dé tiempo a analizar la información recibida, actuando de la forma que buscan los ciberdelincuentes.
Consejos importantes.
Ninguna entidad bancaria o comercio online seguro te enviará un SMS o correo electrónico que incluya un link en el que se te solicite información privada, por lo que nunca debes acceder a las páginas a las que te reconduzcan y, mucho menos, facilitar ningún dato personal o bancario.
Tampoco te pedirán nunca en una llamada entrante, (es decir, en una llamada que tú recibas y no que tú estés realizando), datos personales o bancarios, por lo que jamás los proporciones en caso de que te los soliciten. Finaliza rápidamente la llamada y procede a bloquear el número desde el que han contactado contigo, para evitar futuros posibles nuevos contactos.
Si recibes alguna llamada que te resulte extraña y de la que dudes de la veracidad de la información ofrecida en ella, contacta directamente con la compañía de la que supuestamente te han llamado a través de los números de teléfonos que ésta facilite en su página web oficial, y consulta si realmente ha sido el personal de dicha compañía quien ha contactado contigo.
Revisa siempre que la URL de la página web o enlace al que te estén remitiendo comience por “https”. Esto es un indicador indudable de sitio web seguro.
De ningún modo confíes en mensajes con avisos de situaciones de urgencia o alarmantes, ni en los que incluyan un mensaje mal redactado o con faltas de ortografía.
Nunca respondas a una comunicación sospechosa. Si crees que te encuentras ante un intento de estafa, lo más recomendable es que contactes con el Servicio de Atención al Cliente que aparezca en la página web oficial de la supuesta empresa o banco que te haya contactado, para confirmar si se está intentando producir un fraude y para poner en conocimiento a la otra parte de ello.
Revisa el estado de tu cuenta bancaria periódicamente, con el objetivo de comprobar que no se haya efectuado ningún movimiento del que desconozcas su procedencia.
Intenta leer los códigos QR a través de aplicaciones que te permitan visualizar el enlace de la página a la que te redirecciona el mismo.
