Las últimas semanas en Ecuador hemos recibido una serie de comunicaciones vía mensaje al teléfono móvil (SMS) que aseguran que tenemos “un paquete que ha llegado al almacén, sin embargo, está retenido y no puede ser entregado debido a que la información de la dirección no está clara. Se solicita que se confirme la dirección en el enlace dentro de las 12 horas, se responda y luego detenga el SMS y vuelva a abrir el enlace de activación de SMS, o copie el enlace a Safari y se abra”.
Los enlaces adjuntos a estas instrucciones llevan a páginas fraudulentas que buscan obtener datos personales que incluyen tarjetas de crédito o el pago de un valor económico. Es decir, son una forma de estafa denominada por nuestro Código Orgánico Integral Penal, apropiación fraudulenta por medios electrónicos y que busca engañar al usuario con la falsa expectativa de que va a recibir un paquete que no existe.
Este tipo de estafas se realizaba a través de correos electrónicos maliciosos; sin embargo, vemos que los delincuentes informáticos están usando otras formas de contacto con la víctima.
Cuando los ciberdelincuentes usan el SMS se denomina smishing y consiste en mensajes de texto que los atacantes envían para que los usuarios hagan clic en ciertas URLs maliciosas que les solicitan datos personales, datos de autenticación o pagos.
Cuando los ciberdelincuentes usan llamadas o videollamadas se denomina vishing, en el primer caso se busca acceder a un código que llega al SMS o a un token digital de un usuario que son necesarios para autorizar transacciones generalmente bancarias, pero que también pueden ser de tipo comercial; en el segundo caso, si se realiza videollamada quieren captar la voz o la imagen de las personas porque podrán ser usados por inteligencia artificial (IA) para suplantar identidades y realizar más estafas.
Además, se puede usar llamadas o mensajes a través de aplicaciones como WhatsApp, Telegram, en general a través de las redes sociales e incluso ya se usa la IA para generar campañas masivas de correos electrónicos para suplantar la identidad, denominado phishing (a través de spam) y sitios web falsos con el propósito de extraer datos personales en especial de claves de bancos o tarjetas de crédito de los usuarios o la entrega de valores para realizar supuestas pruebas de selección o abonos para postular a un trabajo o incluso acceder a estos.
Cuando los ciberatacantes obtienen los datos personales pueden aplicar una técnica maliciosa denominada spoofing, al suplantar la identidad de un dispositivo, usuario o sistema, ya sea falsificando la dirección IP del dispositivo para que parezca que viene de un sitio web válido; suplantando los registros DNS para redirigir el tráfico a un sitio falso; o falsificar la dirección de un correo electrónico para que parezca que viene de su titular; de voz, para que se engañe a otros a través de llamadas telefónicas; de GPS, para que se haga pensar que el titular se encuentra en un sitio diferente. Es decir, a través de todas estas formas de spoofing se busca engañar a otros dispositivos o sistemas y obtener acceso no autorizado a datos personales o realizar acciones no deseadas que pueden causar pérdidas económicas, producir daño a la reputación y en general deja en la indefensión a los titulares que se perciben vulnerables ante la anulación de su identidad debido a su suplantación.
De acuerdo con la estadística Panorama Anual de Amenazas de Kaspersky para América Latina 2024, “los países más atacados en América Latina son Brasil (1.8 millones de bloqueos), México (835 mil), Ecuador (402 mil) y Colombia (203 mil). Asimismo, Ecuador destaca como el tercer país con el mayor aumento de esta amenaza en comparación con el periodo anterior”.
De otro lado, debido a la falta de conciencias y formación ciudadana en ciberseguridad, no se denuncian estos delitos, lo que agrava aún más el problema porque lo invisibiliza.
Se recomienda a las personas que para seguir disfrutando de los beneficios de sus dispositivos sean cautelosas con los mensajes SMS, correos electrónicos, llamadas o videollamadas de personas desconocidas.
Es decir, tomarse el tiempo para identificar el emisor. Si existe dudas respecto del remitente, sobre todo porque la dirección de envío no corresponde a la persona, institución u organización que aparece en el texto del mensaje no hagas clic en ningún enlace, rechace el mensaje, bloquea y reporta en la plataforma de correo, red social, cuando sea posible.
No escanees códigos QR, impresos, y en especial de la aplicación de WhatsApp, si se presume que son fuentes no confiables.
Coloca en modo privado y habilita la verificación en dos pasos (verificación de doble factor) en todas tus cuentas digitales, incluidas juegos en línea, redes sociales, banca virtual, e-commerce, entre otros.
Tener cuidado con la instalación de Apps, sobre todo de tiendas no oficiales y revisa comentarios y opiniones de usuarios.
Lo más importante es valorar tu instinto si no estás seguro de que un mensaje, correo electrónico, página web, aplicación digital, sea real y segura, no introduzcas datos personales ni realices pagos o transacciones bancarias; más aún si se encuentra conectado por WiFi gratuito en una red pública.
Comenta con tu comunidad cercana sobre estas nuevas formas de ataque, en especial explica a detalle a adultos mayores o personas vulnerables sobre el cuidado de no entregar datos personales, menos aún realizar pagos. En caso de duda, ofrécete para escuchar y solventar dudas sobre sitios web o enlaces sospechosos que pueden ser fraudulentos o pueden código malicioso.
La cultura de ciberseguridad la construimos todos y aquellos que tienen mayores conocimientos tienen una obligación de educar a los demás en este ejercicio de autodefensa ante esta permanente ola de nuevas formas de ataques cibernéticos.