Cómo reaccionar a un fraude online y señalarlo

Que seas una víctima o un testigo, da igual: hay muchas maneras para enviar información sobre amenazas informáticas para que la Red sea un lugar más seguro.

FRAUDE

En este blog hablamos mucho de los diferentes tipos de amenazas que se pueden encontrar online y hemos proporcionado varios consejos sobre cómo evitar caer víctima de los fraudes por Internet. Hoy queremos hablar brevemente de las mejores maneras para reaccionar a las amenazas online después de reconocerlas; existen muchas organizaciones que ofrecen servicios específicos para que Internet sea un lugar más seguro. En algunas circunstancias, la información que les proporcionamos puede ser verdaderamente importante.

Phishing

Se trata de un fraude de ingeniería social que consiste en sacar datos valorables de víctimas ingenuas. Los ataques de phishing más populares ocurren por mail. El cibercriminal crea un mensaje que parece fiable para el destinatario. El mail parece enviado por un banco importante que avisa al usuario de un probable accidente de seguridad: luego en el mensaje hay un enlace a través del cual el usuario puede proceder a la reconfiguración de la contraseña.

Hay muchas maneras para enviar información sobre amenazas informáticas, para que la Red sea un lugar más seguro.

El enlace en realidad lleva a una página web muy parecida a la del banco en cuestión.  El usuario que ha seguido el enlace, se verá obligado a introducir su nombre de usuario y la contraseña  para acceder a su cuenta y crear una nueva clave. En realidad, gracias a este truco, el cibercriminal está descubriendo las credenciales bancarias del usuario (por eso los bancos advierten a sus clientes para que no hagan clic en estos enlaces y les solicitan navegar directamente en la página web oficial antes de entrar en la cuenta).

Entonces, si te has enterado de un ataque de phishing (tanto para robar datos bancarios como de acceso a las redes sociales o de cualquier otro tipo), ¿qué tienes que hacer? Tienes muchas opciones en realidad pero, en general, hay que seguir estas 5 pautas:

1. NUNCA HACER CLIC EN ENLACES SOSPECHOSOS;

2. Reenviar el mail de phishing y el enlace a la compañía “imitada”;

3. En algunos casos, es necesario contactar con las fuerzas de policía;

4. También es buena idea informar a la entidad gubernamental de protección de los consumidores o empresas tecnológicas de referencia;

5. Al final de todo, borrar el mensaje.

Hagamos un ejemplo. Te has enterado de una campaña de phishing relacionada con cuentas PayPal. Quieres contactar con el departamento de la empresa que se ocupa de estos asuntos. Solo tienes que buscar algo como “Señalar phishing PayPal” o “fraudes PayPal”.

Si se trata de un mail de phishing, tienes que reenviar el mail a PayPal y luego borrarlo. Después de esto, el servicio recomienda revisar el historial de las transacciones para verificar que todo esté en orden. Este comportamiento cauteloso se puede adoptar también en otras ocasiones parecidas. Gmail proporciona un servicio de señalización de phishing integrado directamente en la interfaz de usuario. La mayor parte de los bancos y de empresas ofrecen funcionalidades para denunciar ataques de phishing.

Dependiendo de la gravedad de la situación, tal vez sea necesario contactar con las autoridades policiales, pero es algo de lo que hablaremos más adelante.

El US-CERT (United States Computer Emergency Readiness Team), la división de ciberseguridad  presente en el departamento estadounidense de seguridad nacional, ha creado una dirección mail específica (phishing-report@us-cert.gov) para que los usuarios envíen información sobre eventuales ataques de phishing. También el Internal Revenue Service (la agencia tributaria estadounidense) tiene su propia página dedicada al phishing y a los fraudes online, donde los ciudadanos tienen toda la información sobre lo que hay que hacer en caso de fraudes relacionados con los impuestos. Hablamos de agencias presentes en Estados Unidos, pero cada país tiene sus propias organizaciones, solo hace falta buscar información. Aparte de las agencias gubernamentales, empresas tecnológicas como Google y Microsoft han creado páginas muy sencillas para que el usuario tenga a disposición todo lo que hay que saber sobre phishing y fraudes por Internet y para que envíen los enlaces de las páginas web de phishing encontradas.

Diferencias en el extracto de la cuenta

Cada vez que hagamos una compra online, siempre pensamos: ¿Y si nunca me llega lo que he pedido? ¿Qué tengo que hacer si me hacen un cargo adicional en la cuenta? Naturalmente depende de la situación, del vendedor y del método de pago utilizado. Pero, en general, para empezar se pueden hacer estas tres cosas:

1. Contactar con la organización de donde proceden los cargos en la tarjeta;

2. Si no se soluciona el problema, contactar con el banco;

3. En algunos casos, resulta necesario acudir a las autoridades policiales.

Si te cobran más por algo que has comprado, si te cobran por algo que nunca has comprado o si te cobran por algo que has comprado pero que nunca has recibido, primero tienes que dirigirte al vendedor. En el caso de que te des cuenta de que no esté involucrado ningún vendedor legítimo y si se trata de un fraude, tienes que acudir directamente a tu banco o al servicio con el que has contratado tu tarjeta de crédito y hablarle de tu situación.

Si te ha cobrado una empresa bastante reconocida, como eBay o Amazon, encontrarás seguramente una página de atención al cliente o dedicada a la resolución de estos problemas. Cualquier sitio Web respetable que venda productos o servicios tiene que ofrecer a sus clientes y usuarios una manera para solucionar situaciones de este tipo, aunque sabemos que a veces pasa de tener que pelear un poco para conseguirlo o hay que llamar directamente la compañía. Con honestad y paciencia, lograrás resolver estos asuntos si tienes enfrente una empresa responsable y, en estos casos, ni hace falta contactar con tu banco o con tu servicio de tarjeta de crédito.

De todas formas, si estás seguro de que no vas a recibir lo que has comprado, si piensas que has esperado demasiado ya o si crees que te han estafado de alguna manera, sigue con tu “batalla” y llama al banco. Cualquier entidad bancaria o servicio financiero que utilices, tiene que ofrecer un sistema para denunciar cobros fraudulentos. Busca en la página web de tu banco, en Internet o incluso llama directamente el servicio de atención al cliente para saber a quién acudir.

Además, en páginas como eBay o Amazon donde la gente puede vender directamente productos a potenciales clientes, es más probable caer víctima de un vendedor fraudulento que no sea un empleado directo de una empresa reconocida. En estas situaciones, es necesario seguir instrucciones específicas de Amazon, eBay o empresas parecidas que explican cómo tratar con vendedores fraudulentos.

Si crees que hay cargos sospechosos en tus cuentas (por ejemplo porque alguien ha accedido a tu número de tarjeta de crédito o a tus credenciales de eBay), entonces tienes que contactar con la policía informática y, como te hemos dicho, cada país tiene este servicio, así que solo hay que informarse un poco. Aquí va el ejemplo de la página estadounidense:

ConsumerFraudReporting.org es una página muy útil (en inglés) si te encuentras en las situaciones que acabamos de describir. Vale sobre todo para usuarios de EE.UU. pero hay también información general sobre cómo actuar en caso de infección de malware o cómo denunciar los intentos de fraude a las entidades bancarias más importantes.

Infección de malware

En primer lugar, siempre debes tener algún software de seguridad en funcionamiento. Un producto antivirus potente hará que sea mucho más difícil que tu ordenador sea infectado por un programa malware.

Sin embargo, imaginemos que tu ordenador ha sido infectado por malware que roba información. Resumiendo, esto es lo que tienes que hacer:

1. Soluciona la infección;

2. Evalúa el grado de la exposición;

3. Cambia las contraseñas, consigue tarjetas nuevas.

Si no tienes algún programa de software antivirus, entonces deberías comprar una buena solución, instalarla, actualizarla, y efectuar un análisis de tu equipo. Un buen producto anti-malware detectará y eliminará el software malicioso, incluso si estaba en tu ordenador antes de haber instalado el antivirus.

Ahora tienes que hacer todo lo que puedas para determinar exactamente cuándo se produjo la infección. También te podría ayudar determinar la fuente de la infección y, si es una página web, puedes denunciar a Google o a US-CERT o a Microsoft o al FBI o a cualquier otra institución que puedes encontrar haciendo una búsqueda en Internet.

Después de esto, tienes que averiguar cuál fue la información probablemente expuesta. ¿Habías accedido a tus cuentas de email, a tu cuenta bancaria online o alguna otra cuenta online mientras tu ordenador estaba infectado con malware? Si esto es el caso, debes  considerar que cualquier cuenta dónde iniciaste sesión puede estar comprometida y debes cambiar tu contraseña acorde con esto. Además, deberías verificar de vez en cuando si hay alguna actividad sospechosa en la cuenta. Dependiendo de la información que es accesible en la página web de tu banco, quizás tendrás que contactar con tu entidad bancaria y tomar medidas más específicas. En el caso de tu email y otras cuentas, deberías acceder a los ajustes para comprobar que no se haya modificado o añadido ningún ajuste crítico, como las direcciones de correo electrónico de recuperación, o las funciones como las reglas de reenvío.

Las amenazas online no están en absoluto limitadas a los tres tipos que hemos nombrado en este artículo, pero los pasos que explicamos ofrecen una guía que podrían ser aplicada también a otras amenazas. Escribe en los comentarios si hay alguna otra situación que te gustaría que tomemos en cuenta.

Consejos