¿Crees que nunca te engañarían con un email fraudulento? Pues caer en manos de los estafadores de internet es más fácil de lo que muchos piensan.
A través de técnicas como el phishing —que consiste en «pescar» a los internautas ganándose su confianza al hacerse pasar por una persona o entidad respetable, como el banco o el departamento de Recursos Humanos de la empresa— los cibercriminales logran manipularnos.
De hecho, todos somos algo más vulnerables desde el momento en que introducimos nuestros datos en un formulario online o hacemos clic en un enlace.
Es así que cada día miles de personas caen en las trampas de los «phishers», los suplantadores de identidad.
Muchas veces, las estafas se traducen en extorsiones de todo tipo, generalmente con el objetivo de recaudar dinero.
Y con frecuencia las personas víctimas de estas estafas son quienes menos piensan que van a serlo.
La reportera de BBC Radio 4 Shari Vahl, especializada en investigación de fraudes, estuvo analizando esta cuestión.
La periodista tomó como ejemplo una estafa cibernética muy extendida en los últimos años en Reino Unido que consistió en engañar a los internautas primero con un correo electrónico y después con una llamada, haciéndoles creer que debían pagar un impuesto obligatorio llamado licencia de televisión.
Action Fraud, el centro británico de reporte de delitos cibernéticos, recibió más de 2.500 quejas relativas a este fraude en los últimos meses.
Un email «muy convincente»
«No es un fraude que resulte obvio de inmediato… y eso forma parte de su elegancia. Los criminales hacen que lo pases por alto», explica Vahl.
«El email parecía totalmente convincente», pues cuenta con todos los logos correspondientes y hasta la letra que usaría el emisor.
En el correo electrónico, los estafadores expresan con un tono «muy educado» que no les llegó el pago de impuesto de televisión y que el usuario debe abonarlo.
También incluye un enlace «que no parece un enlace» en el que se lee: «Por favor, haga el pago ahora». A continuación, se solicitan los datos bancarios en un formulario «muy convincente».
Jane fue una de las receptoras de ese correo electrónico.
«Hice clic ahí como una tonta», le cuenta a la BBC. «Pensé: ‘Sí, voy a pagar la licencia de televisión porque es muy importante’. Comprobé mi cuenta bancaria y no la había pagado, así que pensé que tenía que hacerlo».
«Introduje los datos de mi tarjeta de débito para hacer el pago».
La llamada urgente
Vahl dice que hacer clic en el enlace no es un problema en sí y no hace que el dinero desaparezca del banco de inmediato.
El asunto es que, unas pocas semanas más tarde, la persona recibe una llamada supuestamente del departamento de detección de fraudes electrónicos del banco diciendo, en un tono urgente, que alguien accedió a la cuenta bancaria para robar dinero y que es necesario tomar medidas «lo antes posible».
Al igual que cientos de otras personas, Jane recibió esa llamada.
«Era un hombre muy convincente, yo diría que incluso encantador, que me explicó por qué era muy importante que transfiriéramos de inmediato nuestro dinero a una nueva cuenta para evitar que nos siguieran robando».
«Luego me dio un número de cuenta para establecer un nuevo pago y enviarme, supuestamente a mí misma, £19.195 (más de US$24.700)«.
«Por supuesto, esa llamada no era del banco», dice Vahl. «Eran los criminales, y la razón por la que saben tanto sobre tu cuenta bancaria es porque tú les dijiste todo lo que necesitan saber al contestar a ese correo electrónico».
«Son muy inteligentes», señala la reportera.
Por eso muchos caen en trampas como esa, que ocurren en otros sectores y en todas partes del mundo.
En el caso de Jane, su banco detuvo los pagos a tiempo, pero otros estafados no siempre tienen la misma suerte.
El momento adecuado
La especialista en fraudes y ciberseguridad Jennifer Radcliffe se dedica a investigar (y aplicar) lo que se conocen como estrategias de «ingeniería social», un término que en seguridad informática se refiere al «arte del engaño».
En otras palabras, son las técnicas de manipulación psicológica que usan los ciberdelincuentes.
Son manipuladores profesionales. Pero existen maneras de detectarlos.
Radcliffe es contratada por compañías para quebrantar sus sistemas usando ese tipo de técnicas.
En su opinión, fraudes como el de la licencia de televisión son exitosos porque ofrecen a la gente solucionar un problema que para muchos representa un dolor de cabeza.
«Los fraudes más sofisticados son los que se planean muy cuidadosamente», le cuenta la especialista a la BBC.
«Y ese es un ejemplo porque obtienen algo de información de ti para obtener acceso a la cuenta, que luego pueden usar a su favor. Las consecuencias pueden ser devastadoras para algunas personas».
«Lo que realmente se busca es una ventana que revele algo de tu identidad, datos personales… y a partir de ahí saber más y más».
Radcliffe también dice que el tiempo es otro factor muy importante. Por ejemplo, el hecho de que rellenes un formulario y recibas una llamada días (y no horas) más tarde, cuando probablemente ya te hayas olvidado de que lo hiciste.
«Eso hace que (el fraude) sea más exitoso», afirma.
¡Ojo con los pequeños detalles!
Max Bruce, jefe de seguridad cibernética del cuerpo de policía de la City de Londres, explica a la BBC que en el caso del fraude de la licencia de televisión, la fecha límite que estipulaban los ciberdelincuentes para hacer el pago era el 24 de diciembre.
Se trata de un detalle inusual y extraño «que puedes pasar por alto en un momento ajetreado», sobre todo porque te piden que actúes de manera urgente, agrega.
Pero si prestas atención, ese dato puede indicarte que se trata de un email de tipo phishing.
Y había otro pequeño detalle muy importante: la gramática.Había una letra incorrecta, una pequeña falta de ortografía que muchos pasaron por alto.
Bruce la detectó de inmediato y lo publicó en Twitter: «Tengo mucha práctica», declara.
Otros datos a los que prestar atención:
- Comprueba la dirección de email del emisor. Fíjate si contiene símbolos o letras raras. Revisa si es la oficial.
- Fíjate en cómo se dirigen a ti. Normalmente, los estafadores no suelen llamarte por tu nombre y apellido. Usan fórmulas genéricas, como: «Estimado cliente».
- Mira los enlaces dentro del email. La norma general es que no hagas clic en enlaces o documentos adjuntos.
- Revisa las direcciones de cada página web a la que te dirijas.
Fuente: Action Fraud