Gira tu dispositivo a modo "landscape"
Gira tu dispositivo a modo "landscape"
Phishing, troyanos, gusanos, spyware, ransomware, rogueware, malware polimórfico… Todos estos extraños términos comparten una característica común: son tipos diferentes de malware o software malicioso diseñado por ciberdelincuentes para causar daño o extorsionar a una víctima a través de sus equipos informáticos.
En la mayoría de los casos la metodología que emplean es la misma: los piratas se cuelan en los equipos de sus víctimas, bien sea a través de Apps en los dispositivos móviles (suele producirse a través de aplicaciones que pueden parecer legítimas, pero que en realidad son maliciosas, especialmente, si se descargan de sitios diferentes de los markets oficiales - App Store o Google Play), o a través del correo electrónico, donde consiguen ejecutar e instalar un programa malicioso sin que la víctima se dé cuenta (normalmente al abrir o ejecutar algún archivo adjunto que lleve el correo), y obtienen la información que quieren robar.
Pero, ¿cómo lo consiguen? ¿Qué técnicas emplean los llamados virus troyanos para robar información bancaria? La mayoría de las víctimas abren la puerta a los troyanos a través de apps descargadas de markets no oficiales y del correo electrónico al descargar programas que parecen veraces pero que contienen un virus. En muchas ocasiones, el malware está diseñado para capturar formularios, pantallas, pulsaciones de teclado e incluso para redireccionar a la víctima hacia servidores controlados por los atacantes para tener acceso a toda su actividad digital.
Uno de los métodos de estafa más habituales que sufren los usuarios de banca es el phishing. Los atacantes, por ejemplo, simulan ser una entidad oficial, como tu banco, empresas tecnológicas, energéticas, Correos, Seguridad Social, Hacienda… con bastante realismo (usan el mismo logo, tipo de letra, nombre de la entidad en la URL, etc.) y te envían un mensaje en el que te piden que verifiques tus claves de acceso a la banca online o los datos completos de una tarjeta de pago desde un enlace que incluyen en el mismo email. Al pinchar en ese enlace, sin embargo, el malware te dirige a una página que parece legítima pero que es fraudulenta, y te pide que introduzcas la información para robártela. El phishing tiene varias variantes:
· Smishing, a través de mensajes SMS. Se han detectado mensajes SMS que intentan suplantar la identidad de entidades legítimas y convencer a la víctima para que introduzca datos (credenciales de la banca electrónica, datos de tarjeta, otras claves) en una página que simula ser legítima pero es fraudulenta, o para que se descargue una aplicación que en realidad es una aplicación maliciosa y esconde el troyano bancario. Además del robo de credenciales bancarias o de los datos de tarjeta, algunos de estos troyanos incluyen una funcionalidad para robar también los SMS recibidos en el dispositivo infectado. Gracias a esta habilidad, los atacantes pueden obtener los códigos de autorización recibidos en el móvil, pudiendo así autorizar el acceso a la cuenta de la víctima o una transacción realizada por los propios atacantes. Estos troyanos también pueden acceder y/o robar la agenda de contactos de quien sufre el ataque.
· Con una llamada telefónica o vishing. Con esta modalidad, mezcla de Voice y phishing, los piratas primero te envían un email u otra comunicación (por ejemplo, por SMS) simulando ser tu entidad bancaria o cualquier otra empresa legítima, en el que te piden llamar a un número de teléfono para hacer una comprobación de seguridad o para verificar una operación supuestamente sospechosa que se ha detectado. También puede ocurrir que no te envíen una comunicación previa, sino que, a través de un mensaje de alerta en una página web, te llega una “invitación” para contactar con un número de teléfono para solucionar un supuesto problema de seguridad. En ambos casos, al otro lado del teléfono puede responderte un contestador o, incluso, una persona que interactúa contigo advirtiéndote de que se ha detectado, por ejemplo, un movimiento extraño con tus tarjetas o tus cuentas bancarias, y te pide que verifiques tus datos. También es habitual que te soliciten incluso descargar programas de control remoto de tu equipo, de forma que controlan tu dispositivo y se consuma la estafa.
· Vía WhatsApp. El atacante envía a su víctima un mensaje a través de Whatsapp con un link para que acceda a una web fraudulenta (habitualmente simulando ser de una entidad legítima) e introduzca las claves de su banco o los datos de una tarjeta. Suelen acompañar este mensaje de WhatsApp con otro engaño para conseguir que la víctima les facilite el código SMS recibido en su móvil, para finalizar una operación de pago por tarjeta o de transferencia desde la banca electrónica, en ambos casos, de forma fraudulenta.
1. Descarga tus Apps desde sitios oficiales, mantenlas actualizadas y activa el bloqueo de fuentes desconocidas en los ajustes de tu Smartphone.
2. Instala un antivirus en tu PC y en tu Smartphone, y desconfía de las aplicaciones que te pidan acceso a los mensajes de texto. Además, es una buena práctica de seguridad revisar todos los permisos que solicita una App cuando se va a instalar, y en caso de duda de alguno de los que pida, no instalarla. También es buena práctica revisar las opiniones/comentarios sobre una App sobre la que se tenga dudas de su legitimidad.
3. Actúa con escepticismo y prudencia. Si algo te parece raro, no lo hagas; no accedas a tu banca online desde ningún enlace que hayas recibido y hazlo siempre desde tu App oficial o, en caso de acceder a través de un navegador de Internet, verificando que el sitio web al que accedes es el legítimo del banco.
4. Nunca des tus datos confidenciales como credenciales de inicio de sesión, contraseñas ni credenciales de pago, ni a través de internet ni por teléfono, bajo ninguna circunstancia.
5. Desconfía de mensajes y correos inesperados: son la principal vía de entrada de fraudes.
6. Nunca introduzcas tus claves personales, especialmente las de acceso a la Banca online, en ordenadores públicos o redes WiFi abiertas como las de un aeropuerto.
7. Utiliza la opción “Cerrar sesión” cuando te desconectes y desactiva la opción “Autocompletar contraseñas” de tu ordenador.
8. Usa claves seguras, con cierta complejidad combinando número, mayúsculas, minúsculas y otros caracteres. Cuando una clave sea numérica procura que no siga patrones fácilmente deducibles (todos los números iguales, secuencias ascendentes o descendentes) ni que pudieran ser obtenidas por otras vías (redes sociales, etc.), como fechas de nacimiento o DNI. En todo caso, recuerda cambiarlas periódicamente.
En Cajasur además disponemos de medidas adicionales de seguridad para evitar que te conviertas en víctima de ciberdelincuentes:
· Controlamos los intentos de acceso online y lo bloqueamos si se superan los 5 intentos fallidos. A través de un SMS te indicamos cómo recuperarla.
. Se protegen algunos accesos y consultas: para mayor protección de tu privacidad verás que en ocasiones también se requiere una autorización adicional mediante una clave de un solo uso enviada por SMS al móvil.
· Analizamos tus operaciones para detectar posibles fraudes y avisarte de manera inmediata.
Si necesitas información adicional visita nuestra página web o consulta con tu gestor o gestora.
