Vamos a hacer un repaso de algunas de las estafas que están circulando en este 2021, para que sepas detectarlas cuando las veas y no caigas en ellas.
1. Emails o SMS que se hacen pasar por Correos (y otras empresas de mensajería)
2. Falsos emails de la Agencia Tributaria (y otros organismos oficiales)
3. Falsos códigos de verificación de WhatsApp
4. Falsos comunicados sobre el Covid
5. Confirmaciones de pedido de Amazon
6. Phishing de bancos y servicios de pago
7. Robo de cuentas en Instagram
8. Phishing de servicios de videoconferencia o clases online
9. Estafas con criptomonedas
10. Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus)
11. Cupones de descuento de grandes empresas
¿Qué hacer si has caído en alguna de estas estafas?
*Si tienes Telegram, sigue nuestro nuevo canal donde compartiremos alertas de seguridad, nuevas estafas y consejos para estar mejor protegidos. https://t.me/kasperskyes
1. Emails o SMS que se hacen pasar por Correos (y otras empresas de mensajería)
Desde el confinamiento, cada vez más personas están haciendo uso del comercio electrónico. Muchos de ellos no estaban acostumbrados a comprar online y los estafadores están aprovechando para aumentar los intentos de engaño haciéndose pasar por Correos u otros servicios de mensajería y cazar a los más incautos.
Además de a través del email, también utilizan los SMS. El pretexto de estos mensajes es que puedas hacer el seguimiento de tus pedidos. Recibes un enlace dentro del SMS que te redirige a una página falsa que simula ser Correos para robar tus datos o incluso para solicitarte que instales una app falsa para poder hacer el seguimiento.
Otro de los ejemplos de phishing que estamos viendo es la de SMS fraudulentos haciéndose pasar por Correos, Seur, DHL o MRW y solicitando una cantidad pequeña (de 1,99€ generalmente) para hacerte llegar el envío. Si haces clic en el enlace, te llevan a una página falsa que simula ser la de la empresa de mensajería. De esta forma, también te roban los datos de tu tarjeta si picas.
Si recibes un email o un SMS de una empresa de mensajería, ya deberías sospechar.
Un caso más grave que estamos viendo son los SMS haciéndose pasar por FedEx. Bajo el pretexto de que la entrega no se ha podido realizar o de que tu envío está llegando, te animan a realizar el seguimiento y lo acompañan de un enlace. Al pulsar, se descarga una aplicación maliciosa que se hace pasar por FedEx y que puede llegar a tomar el control del dispositivo. Esto ocurre en los teléfonos Android.
Muchos os preguntáis, cómo es que el SMS venía con mi nombre incluido. Si ha sido tu caso, el motivo es porque alguien que te tenía en su agenda ya ha sido víctima y le ha concedido permiso a la aplicación maliciosa. De esta forma, la estafa se propaga rápidamente y además, con mayor probabilidad de éxito, al venir personalizada.
Lo grave de esta aplicación es que al conceder estos permisos a la aplicación le estás dando vía libre al robo completo de tus datos y de tu dinero. Aquí lo explican con más detalles.
2. Falsos emails de la Agencia Tributaria (y otros organismos oficiales)
Otro clásico que siempre aparece en tiempos de declaración de impuestos. Las variantes de los emails son múltiples: Recordatorio de pago, Cuenta bloqueada, devolución de impuestos (ya es raro, ¿no?), etc. Todas te llevan a una página falsa que se hace pasar por la de la Agencia Tributaria para que introduzcas tus datos.
Desde que lanzaron app móvil hace ya tres años, también suelen aparecer aplicaciones falsas que cazan a algunos incautos cada temporada.
Otra variante es que te solicitan que descargues un archivo adjunto (simulado como documento pdf) y de esta forma consiguen instalarte un malware en tu dispositivo.
Otros organismos oficiales utilizados por los ciberdelincuentes para robar datos son la DGT (¿a quién no le asusta recibir un email de una multa?) o de los servicios de empleo.
3. Falsos códigos de verificación de WhatsApp
El secuestro de cuentas o robos de WhatsApp es una técnica habitual para robar información. Recientemente ha habido un repunte de casos de intentos de robos. Todos funcionan de la misma forma:
- El ciberdelincuente configura WhatsApp en un móvil utilizando el nº de teléfono de la víctima.
- Dado que WhatsApp solo permite asociar un perfil a cada nº de teléfono, el estafador solicita a la víctima que le reenvíe el código de verificación recibido por SMS. Si la víctima pica, permite al ciberdelincuente que configure en su teléfono tu cuenta de WhatsApp.
4. Falsos comunicados sobre el Covid
Usar el gancho del Covid es otra de las técnicas habituales utilizadas por los estafadores. Hemos visto múltiples variantes. En la gran mayoría de los casos se hacen pasar por organismos oficiales para informar sobre restricciones perimetrales, comunicados de ayudas a empresas por el Covid, avisos de vacunas, etc.
Puede ser que estos mensajes te redirijan a una página falsa para robar tus datos, o te solicitan descargar un archivo adjunto que es malicioso.
Como es habitual estos días, muchas de las estafas se hacen virales a través de WhatsApp.
5. Confirmaciones de pedido de Amazon
El gigante del comercio electrónico es un gancho habitual usado por los ciberdelincuentes. Las variantes de los intentos de phishing son múltiples.
Es posible que recibas un email de confirmación de un pedido (que no has hecho). Al hacer clic en el enlace, te llevan a una página que simula ser la de Amazon y te piden tus credenciales de acceso. Si das tus datos, lo estarías entregando a los estafadores.
Otra modalidad es que te envíen un email de que han detectado actividad sospechosa en tu cuenta.
Puedes entrar en este artículo si quieres saber cómo aprovechan los ciberdelincuentes la plataforma Amazon para realizar estafas.
6. Phishing de bancos y servicios de pago
Nada nuevo bajo el sol. Hacerse pasar por el banco o servicios de pago como PayPal, ya sea a través del clásico email o de un SMS para llevarte a una página falsa y tratar de robar tus credenciales.
Ya sabes, si tienes que entrar en tu banco, hazlo a través de su app oficial o introduciendo directamente la url en el navegador.
7. Robo de cuentas en Instagram
Otra artimaña que ha ocurrido bastante durante los últimos años y que sigue en auge. Los métodos utilizados por los ciberdelincuentes han sido variados. Desde mensajes para verificarte la cuenta, a notificaciones falsas de violación de derechos de autor y avisos de que te van a eliminar la cuenta.
Tras estos mensajes, te llevan a una página falsa que simula ser la de Instagram y te piden los datos de acceso. Si rellenas tu usuario y contraseña, entregas los datos directamente a los ciberdelincuentes.
El objetivo de los estafadores es revenderte después la cuenta que te han robado (en caso de que tengas muchos seguidores) o vender la cuenta en el mercado negro.
Si quieres conocer una historia real de un robo de cuenta en Instagram, te recomendamos leer esta que sufrieron desde la cuenta “Algo para Recordar”, ya que narran muy bien todo el proceso y las sensaciones de perder años de trabajo.
Si quieres fortalecer la seguridad de tu cuenta, no te pierdas estos consejos para mejorar la seguridad de tu cuenta de Instagram.
Por cierto, la dinámica de estas estafas también las hemos visto en Facebook, destacando la de los avisos por violación de derechos de autor.
8. Phishing de servicios de videoconferencia o clases online
La pandemia y el confinamiento ha provocado un crecimiento acelerado de usuarios de estos servicios, lo que también ha hecho que los cibercriminales incrementen las estafas relacionadas con estos servicios.
El objetivo de los ciberdelincuentes es robar las cuentas de Zoom, y los ganchos utilizados han sido muy variados.
Un ejemplo habitual ha sido el de recibir un email de que te han invitado a una reunión en Zoom y mandarte un enlace falso (o incluso adjuntarte un archivo con información de la reunión).
Otros ganchos son los de enviarte un email cuyo mensaje te pide que te unas a una reunión o cuyo asunto principal es la suspensión del contrato laboral. Esto genera dudas y decides entrar. Haces clic, vas a la página que simula ser Zoom y te piden tus credenciales para entrar.
Otra técnica utilizado por los ciberdelincuentes ha sido la de enviar archivos adjuntos maliciosos junto a las invitaciones de reuniones en Zoom.
Aquí tienes 10 consejos de seguridad y privacidad en Zoom.
9. Estafas con criptomonedas
Probablemente te hayas encontrado con algún anuncio de inversión en criptomonedas que utilizan (sin permiso) la imagen de famosos. Hemos visto que han usado la imagen de Messi, Pablo Motos, Florentino Pérez, Risto Mejide o Amancio Ortega, por ejemplo. Ya sabes, con no entrar es suficiente.
Otra variante la hemos visto en Twitter, con la creación de perfiles simulando ser los de famosos (o incluso hackeando cuentas de famosos) para promocionar una estafa que consistía en que tenías que mandar bitcoin a un wallet y te mandarían el doble a tu cuenta. Aquí puedes leer la historia completa.
Con el valor del bitcoin creciendo y la apuesta de Elon Musk, es muy probable que veamos que los estafadores sigan aprovechando el gancho de las criptomonedas en 2021. Si quieres ver algunas de las formas en las que lo hacen, aquí te las contamos.
10. Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus)
Otro tipo de servicio que creció durante la pandemia, y por tanto, otro gancho cada vez más utilizado por los estafadores.
Aquí tenemos dos variantes, una del clásico phishing para robar tus datos de acceso. Utilizan un gancho para que hagas clic en un enlace, te llevan a una página falsa que simula ser la del proveedor del servicio y robo de credenciales.
Y otra, en el que utilizan las plataformas de streaming como gancho para robar tus datos personales, como el clásico ejemplo de rellena una encuesta y tendrás la suscripción por un precio muy reducido.
En este último caso, vimos como circularon muchos mensajes en WhastApp durante el confinamiento en el que prometían Netflix gratis.
11. Cupones de descuento de grandes empresas
Otro clásico que aprieta en momentos de necesidad. Usar como gancho los cupones de descuento de empresas muy conocidas, como supermercados o tiendas de ropa. Se extienden muy rápido porque los cibercriminales utilizan la técnica de que, si lo compartes con amigos, tendrás más descuento o que tienes que compartirlo con X amigos para recibir el cupón.
También existe la misma versión en modo sorteo de coche o similares.
Desconfía siempre y pregunta en los perfiles oficiales de estas empresas en redes si están realizando un sorteo.
Recuerda que cuando compartes estas estafas, estás alimentando el negocio y haciendo que otros incautos puedan caer y regalar sus datos.
¿Qué hago si he caído en alguna de estas estafas?
Como has podido comprobar, los esquemas de estos intentos de estafa son muy similares. Y al final, o bien tratan de robar tus datos personales o de acceso a cuentas, o bien tratan de infectar tu dispositivo con malware.
Si has dado tu número de teléfono en alguna de estas estafas o descargado alguna app, lo primero que debes hacer es vigilar la factura de teléfono y ver que no tienes sorpresas. En muchos casos, te suscriben a servicios SMS premium.
En la mayoría de ocasiones, estas suscripciones son involuntarias (introduces tu nº de teléfono en una página y le das a aceptar a alguna casilla, donde la letra pequeña dice que aceptas la posibilidad que te suscriban).
Para evitar que te suceda en el futuro, puedes ponerte en contacto con tu compañía de teléfono para desactivar la opción de suscribirte a servicios SMS premiums. Si tenéis padres o familiares/amigos mayores, recomendádselo también, y así evitarán sorpresas en la factura.
Si has dado tu número de tarjeta, vigila los cargos bancarios y ponte en contacto con tu banco. Te recomendamos solicitar una nueva tarjeta y dar de baja la actual.
Si descargado algún archivo, deberías hacer un escaneo con una aplicación de seguridad para comprobar que no tienes ninguna aplicación maliciosa en tu dispositivo o malware en tu ordenador. Puedes descargar la versión de prueba de 30 días de Kaspersky Internet Security y realizar un análisis de tu dispositivo.
Si quieres tener más información sobre cómo evitar ser víctima del phishing, aquí van 10 consejos que te ayudarán.