¡Ojo! Los ciberdelincuentes están colándose en tu buzón de correo (postal)

La Seguridad Social alertó recientemente sobre el envío de cartas fraudulentas en su nombre

J. Castillo

Imagina que un buen día revisas el buzón de correo (postal) y te encuentras con la siguiente comunicación: «Desde la Seguridad Social nos ponemos en ... contacto con usted porque es necesario que nos envíe la siguiente documentación debido a un ataque informático en nuestros sistemas». ¿Qué harías? Así, de primeras, puede parecer una notificación oficial. Se han tomado hasta la molestia de enviar una carta. Sin embargo, es un timo. La propia Seguridad Social se ha visto obligada a emitir un comunicado en el que confirma que se trata de un intento de estafa.

Estamos escamados (y los cacos lo saben)

Lo más preocupante de la cuestión, sin embargo, es que este tipo de envíos físicos resultan cada vez más habituales. Los ciberdelincuentes ya no se conforman con intentar estafarnos por correo electrónico, llamadas telefónicas o mensajes de texto: ahora también usan el correo postal. «El principal impulsor de este auge es, precisamente, el agotamiento de los canales digitales tradicionales –explica Eusebio Nieva, director técnico de la firma sobre ciberseguridad Check Point Software en España y Portugal–. Tras años de exposición al spam y al phishing por email, los usuarios han desarrollado una higiene digital y son más cautos frente a una pantalla, mientras que el buzón físico sigue gozando de un aura de autoridad y confianza que los atacantes están explotando para sortear los filtros de seguridad técnica. Al mover el primer contacto al mundo real, los ciberdelincuentes eliminan de la ecuación las soluciones de seguridad que bloquean enlaces maliciosos en el navegador o el correo, trasladando la responsabilidad de la detección exclusivamente al juicio del usuario en un entorno donde este se siente, erróneamente, más seguro».

No solo entidades públicas

Pero no todas las cartas malintencionadas suplantan a organismos públicos como Hacienda o la Seguridad Social: las entidades financieras, las empresas de custodia de criptomonedas y las grandes marcas (Microsoft, Google, Facebook…) también se han visto obligadas a alertar a sus usuarios. Algo que para Jordi Nebot, CEO y fundador de la compañía tecnológica PaynoPain, no resulta casual: «Los malhechores digitales eligen siempre a organizaciones cuyas comunicaciones suelen implicar acciones obligatorias o consecuencias relevantes para el usuario, lo que reduce la fricción en la toma de decisiones y aumenta la probabilidad de que se faciliten datos o se acceda a enlaces sin una verificación exhaustiva».

Para más inri, los estafadores están enviando cartas cada vez más personalizadas, alerta Nebot: «Estamos observando una preocupante evolución hacia la segmentación, impulsada por el uso de información previamente filtrada en brechas de seguridad que permite que la carta parezca dirigida personalmente al usuario. Estos ataques ya no son disparos al azar, sino que utilizan detalles específicos del destinatario para que la comunicación sea mucho más verosímil, lo que incrementa drásticamente la probabilidad de que la víctima acceda a los enlaces fraudulentos incluidos en el sobre al sentir que la comunicación es legítima y privada».

Los códigos QR como anzuelo

Expertos como Nieva piden desconfiar de aquellas cartas que exijan acciones inmediatas: entregar datos sensibles, claves privadas, frases de recuperación… o el escaneo de códigos QR (como los ya habituales en bares y restaurantes) para validar una información que la supuesta entidad emisora ya debería conocer: «Los códigos QR se han convertido en la herramienta predilecta porque actúan como un agujero negro de información: el ojo humano no puede descifrar hacia dónde apunta el enlace antes de escanearlo, lo que ayuda a ocultar URLs maliciosas que serían fácilmente detectadas en formato texto. Además, el uso del móvil para escanear traslada el ataque a un dispositivo que a menudo cuenta con menos capas de protección que un ordenador corporativo. Esto propicia el robo de credenciales, la descarga de malware o la redirección a pasarelas de pago fraudulentas de forma casi instantánea».

El fallo más crítico que podemos cometer ante una carta sospechosa resulta, por tanto, escanear el código QR incluido y «omitir toda verificación del entorno digital, asumiendo que la página web a la que redirige es oficial únicamente por su estética», explica Doris Seedorf, CEO de la compañía de soluciones digitales Softtek, quien también ofrece recomendaciones a las personas que terminen cayendo en la trampa: «Es obligatorio actuar con rapidez, reportando el caso a la entidad financiera -si procede-, cambiando de inmediato toda contraseña comprometida y monitorizando nuestros perfiles digitales en busca de actividad irregular; además de informar a los organismos competentes, como el INCIBE, para mitigar el impacto del ataque».

La regla de oro, en todo caso, es recordar que «las instituciones oficiales y las empresas legítimas nunca solicitan información crítica a través de métodos que no permitan una verificación clara en sus portales oficiales», sentencia Nieva.

Cuatro reglas básicas

Los expertos consultados proponen adoptar estas normas para evitarnos disgustos ante este y otros tipo de estafa:

- Comprobar que las URLs a las que accedemos son seguras (deben comenzar por 'https').

- No facilitar datos bancarios en sitios a los que se haya accedido desde enlaces o códigos QR recibidos sin previo aviso.

- Activar la autenticación de doble factor en todas aquellas plataformas que lo permitan (pasarelas de pago inclusive).

- Utilizar canales de contacto oficiales para confirmar cualquier notificación recibida, sin importar el medio (aire, cable o papel).

• Temas
• Google