En la actualidad, muchos de los ciberataques se basan en la ingeniería social, poniendo en circulación fraudes como el phishing, el smishing o el vishing, a través de los cuales, el ciberdelincuente intenta obtener los datos personales y/o bancarios de los usuarios, haciéndoles creer que los está compartiendo con alguien de confianza. Aunque en ocasiones estas técnicas también engañan al usuario para descargar un malware, que se encargará de tomar el control del dispositivo y recopilar información sensible para enviársela al ciberatacante.
Mantenernos siempre alerta e informados nos puede ayudar a evitar caer en este tipo de fraudes, no como lo que le sucedió al padre de la familia Cibernauta con su cuenta profesional de una conocida red social.
¿Qué le sucedió?
Nuestro protagonista utiliza una plataforma social muy popular, llamada Fotogram en la que da visibilidad a su negocio a través de diferentes fotos e iniciativas. Gracias a esta plataforma, ha ido creciendo y dando a conocer su empresa, lo que le ha ayudado a adquirir muchos seguidores, y con ello aumentar la contratación de los servicios que ofrece.
Gracias al aumento de sus seguidores, había solicitado a Fotogram el check azul de verificación de su cuenta de marca y se encontraba a la espera de que la red social se pusiese en contacto con él para obtener dicha verificación.
Una mañana, recibió un correo electrónico con el remitente de Fotogram. Abrió el mensaje y este contenía una cabecera con logotipos y una firma de una persona que se identificaba como personal perteneciente a la red social. El correo recomendaba a nuestro protagonista cambiar la contraseña de su cuenta de Fotogram para establecer el check de verificación que había solicitado. Para facilitarle este cambio de contraseña, el correo contenía un enlace que le redireccionaba directamente al sitio web para llevar a cabo la acción, por lo que no se lo pensó dos veces y pulsó en el enlace. Dentro de la página había un formulario donde se solicitaba la contraseña antigua y posteriormente la nueva, así que las introdujo. A los pocos minutos recibió un correo supuestamente de confirmación con otro enlace, donde se le solicitaba un código de verificación que le había llegado por SMS, así que también pulsó en el enlace e introdujo el código que había recibido.
En ese momento, con toda la información facilitada, los ciberdelincuentes accedieron a la cuenta de Fotogram de nuestro protagonista saltándose hasta el doble factor de autenticación. Una vez dentro, cambiaron la contraseña y los datos para poder reestablecer el acceso a la cuenta (número de teléfono y correo electrónico), impidiendo a su dueño volver a tomar el control.
Tras lo sucedido, los ciberdelincuentes volvieron a ponerse en contacto con el padre de la familia Cibernauta para pedirle un rescate, es decir, una cantidad de dinero a cambio de devolverle el acceso a su cuenta. Este, alarmado al darse cuenta de lo que estaba sucediendo, pidió ayuda para saber cómo proceder (reportar la situación ante la red social, cambiar contraseñas de cualquier otro sitio web en el que usase los mismos datos de acceso, informar a sus contactos de la situación, etc.), e interpuso una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
¿Cómo supo el ciberdelincuente a quién atacar?
Una técnica que utilizan los ciberdelincuentes para saber a quién atacar es, o bien conocer de cerca a sus víctimas o realizar un seguimiento de los diferentes perfiles en redes sociales, buscando que cumplan las condiciones suficientes para caer en su engaño.
En esta historia, posiblemente, nuestro protagonista anunciase a través de una publicación que pronto obtendría la insignia de verificación para que sus seguidores pudiesen identificar su cuenta oficial, ya que había identificado perfiles con nombres muy parecidos al suyo que intentaban captar a sus clientes. Otra opción es que el ciberdelincuente identificase rápidamente que tenía muchos seguidores con un perfil muy influyente y que la verificación de su cuenta fuese un tema de interés para él. Cabe la posibilidad también de que los ciberdelincuentes estuviesen buscando víctimas correspondientes a un determinado perfil profesional.
No obstante, los ciberdelincuentes no siempre seleccionan a una o varias personas determinadas, sino que lanzan de forma masiva un correo fraudulento y esperan a que alguien pique para continuar con el fraude.
¿Qué debes hacer para protegerte?
Para evitar que los ciberdelincuentes puedan obtener información personal e impedir que secuestren tu cuenta, te recomendamos seguir algunos consejos:
No facilites demasiada información a través de tus redes sociales. Recuerda que no sabes quién está detrás de cada perfil y detrás de alguno de tus seguidores podría existir un usuario con malas intenciones.
Analiza cuidadosamente cualquier correo que contenga enlaces, sobre todo si te solicitan introducir información sensible, como tus credenciales y datos personales, o descargar algún archivo sospechoso.
Activa el doble factor de autenticación en tus cuentas y no facilites los códigos que recibas a nadie. Si te surgen dudas, consulta en la web del servicio cómo se utiliza el doble factor de autenticación en el mismo.
Establece contraseñas robustas y diferentes para cada servicio, ya que si no realizas esta práctica y alguien consigue obtener tu contraseña, el resto de tus cuentas también estarán en peligro.
Mantén tus dispositivos y aplicaciones actualizados para evitar posibles vulnerabilidades e instala un buen antivirus para mantenerlos protegidos.
Por último, te recordarnos que si te encuentras en una situación similar a la que te hemos contado y tienes dudas, puedes llamar a la Línea de Ayuda en Ciberseguridad de INCIBE, el teléfono gratuito 017.