Si algo se puede decir sobre los ciberdelincuentes es que siempre están al día de lo que sucede en el mundo. Siempre que ocurra algo que puedan usar en su propio beneficio, aunque se trate de un evento adverso, podemos estar seguros de que lo explotarán sin ningún tipo de escrúpulo.
El SARS-CoV-2 no solo amenaza vidas humanas, atenta contra nuestra libertad de movimientos e impacta negativamente en la economía mundial, sino que en cierto sentido también puede afectar nuestra vida digital.
Con más personas trabajando desde casa, los villanos están deseosos de obtener acceso a los sistemas informáticos.
Mediante un correo (o una llamada) que supuestamente procede del departamento de informática, se valen de algún pretexto, para que los usuarios faciliten sus credenciales de inicio de sesión.
También utilizan técnicas de ingeniería social, para generar un sentimiento de urgencia a los destinatarios, y que abran archivos adjuntos infectados insertados en correos electrónicos, o pulsen en enlaces maliciosos, sin reflexionar.
Algunos insinúan la disponibilidad de una vacuna, o una cura milagrosa y otros afirman ser organizaciones caritativas que buscan recaudar dinero para las personas sin recursos.
Ransomware en archivos adjuntos a los correos electrónicos
Se trata de correos electrónicos que parecen proceder de la OMS, una Comunidad Autónoma o los Centros para el Control y la Prevención de Enfermedades, y pretenden ofrecer nueva información sobre el virus mediante un archivo PDF que si lo abrimos, posiblemente, infectará nuestro PC con ransomware.
Aunque algunas de estas estratagemas son un intento patético para quienes las conocen bien, se producen en un momento en que las personas de todo el mundo están muy sensibilizadas con el tema, se sienten particularmente vulnerables y extremadamente motivadas para obtener información.
Por lo que nadie está a salvo de caer en la trampa.
Ofertas engañosas sobre la vacuna, curas falsas y venta de material sanitario
Es más que evidente que si un correo electrónico o un sitio web nos promete una vacuna contra el virus, o brebajes mágicos, lo más probable es que provenga de un estafador.
Si caes en la trampa y compras algo de esto, (hay que ser muy insensato para comprar una vacuna en Internet) en el mejor de los casos puede que nunca llegues a recibir el producto, y si llega, tíralo a la basura ya que si te inyectas o ingieres estas pócimas, te juegas la salud.
En la actualidad no hay pruebas científicas de que exista un producto que pueda curar o prevenir la infección por COVID-19. Muchos de ellos son tóxicos, y pueden ser devastadores para el organismo, llegando a causar incluso la muerte.
Se han identificado varias estafas principalmente relacionadas con la venta online de mascarillas.
Por ejemplo, el vendedor asegura disponer de mascarillas especialmente preparadas para protegernos del virus, por un precio irresistible, pero las víctimas, tras realizar la compra, no llegan a recibir el producto por el que han pagado o, lo que es peor: no están homologadas y no son capaces de protegernos ni contra el polvo de los muebles.
En estos casos, es importante que las personas conozcan los requisitos que deben cumplir las mascarillas para que sean efectivas frente al coronavirus.
Falsos rastreadores de contactos
Pueden comunicarse contigo si has tenido un resultado positivo del COVID-19, si has estado en contacto con alguien que ha resultado ser positivo o para ayudarte a aislarte de manera segura y no transmitir el virus a otros.
Pero nunca harán nada de esto:
Preguntar por tu nombre y pedirte datos personales. Un rastreador de contactos sabrá todo esto cuando llame: son profesionales sanitarios, no vendedores de seguros a puerta fría.
Pedir tu número de tarjeta de crédito u otra información financiera. Es un servicio gratuito.
Pedirte el número de móvil para enviarte un enlace con la intención de que descargues software en tu teléfono, tablet o PC.
La estafa de los ERTE
Lamentablemente, la crisis del coronavirus ha provocado un aluvión de ERTE y los ciberdelincuentes han querido sacar tajada perpetrando sus fraudes.
El Servicio Público de Empleo Estatal (SEPE) alertó a través de sus redes sociales de una infame estafa dirigida a los trabajadores que se encuentran en esta situación.
Los estafadores se ofrecen para tramitar el cobro de las prestaciones por desempleo o reducción de jornada por tiempo determinado.
En estos mensajes se le pide a la víctima el número de cuenta bancaria para poder hacer el ingreso de dichas prestaciones, y se les solicita cierta cantidad de dinero para realizar en su nombre los supuestos trámites administrativos.
No hay que facilitar ningún dato bancario ni pagar un solo euro a supuestos representantes sindicales o a personas que se hacen pasar por gestores administrativos o abogados laboralistas ansiosos por ayudarte.
El Servicio Público de Empleo Estatal (SEPE) se encarga, de oficio, de tramitar la prestaciones. Esto significa que los trabajadores no tienen que solicitar ni tramitar nada, y es la empresa quien tiene que comunicarlo a las autoridades.
Si por desgracia te encuentras en esta situación, manda directamente a tomar por el culo a quien se ofrezca a facilitarte las cosas a cambio de un módico precio.
Correos electrónicos de Phising
Para complicar las cosas, están circulando muchos correos electrónicos legítimos relacionados con el coronavirus, lo que facilita el envío de mensajes maliciosos sin llamar la atención.
Los departamentos de recursos humanos se están comunicando con los empleados para que trabajen desde casa, las escuelas informan a los padres sobre las precauciones que deben tomar o los eventos cancelados, y muchas empresas están tratando de aliviar las preocupaciones de sus clientes.
Y los villanos aprovechan esta proliferación de mensajes para enviar correos electrónicos de phising para ver que pueden pescar.
Ya lo dice el viejo refrán: A río revuelto, ganancia de pescadores.
Para los delincuentes, capturar los inicios de sesión y las contraseñas de los servicios en línea es un objetivo prioritario, porque pueden utilizarlos para cometer fraude financiero o hacerse pasar por un usuario legítimo y acceder a una red corporativa.
Distribución de todo tipo de malware
Sin embargo, no todos los correos electrónicos buscan directamente credenciales de inicio de sesión o información financiera.
Algunos, mediante enlaces o publicidad maliciosa distribuyen distintos tipos de malware como troyanos, mineros de criptomonedas, spyware, rootkits etc.
En una estafa, descubierta por los investigadores de KnowBe4, el perpetrador pedía ayuda para encontrar una cura para el coronavirus instando a las personas a descargar software en sus ordenadores para ayudar en el esfuerzo.
La descarga contenía un troyano capaz de monitorizar de forma remota toda la actividad del dispositivo.
En caso de terminales conectados a una red corporativa, el atacante puede moverse lateralmente por la red de una organización, escalando privilegios, para instalar más malware o robar información.
Los dispositivos domésticos también son atractivos, ya que las personas guardan mucha información privada en ordenadores personales, y los villanos son unos expertos en monetizar los datos robados vendiéndolos en el mercado negro.
Cómo evitar ser estafado
A continuación, se incluyen algunos consejos para evitar este tipo de estafas. No son la panacea (nada lo es) pero sin duda, te ayudarán a estar un poco más protegido.
Piensa antes de hacer clic
Lo mejor que pueden hacer los usuarios para protegerse es reflexionar antes de actuar.
Si el enunciado de un correo electrónico procedente de un remitente conocido parece bastante extraño, o su procedencia es desconocida simplemente elimínalo, si es posible, antes de abrirlo.
Es mejor no arriesgarse.
Pero si ya lo has abierto, evita descargar y abrir archivos adjuntos, o hacer clic en enlaces insertados en el mensaje.
En cualquier caso, si conoces al remitente, ponte en contacto con el mediante un medio alternativo para confirmar si realmente te ha enviado ese correo.
Examina cuidadosamente el enlace
Antes de hacer clic en un enlace, intenta pasar el mouse sobre él.
Esto revelará la dirección completa, lo que puede dejar a la vista signos de fraude. Por ejemplo un dominio .ru al final de la URL, significa que el sitio fue creado en Rusia.
Los errores ortográficos en las URL, y el uso de caracteres extraños (los villanos utilizan códigos Unicode que visualmente son casi semejantes a los originales) son otro buen indicio de que un sitio web es falso.
Otra técnica común para ofuscar una URL es utilizar acortadores de enlaces del tipo Ow.ly que ocultan la dirección original.
Y si recibes un correo electrónico que anuncia la venta de mascarillas o gel desinfectante para manos de un minorista importante, abre una ventana en el navegador, busca la dirección web del minorista y compárala con la del correo electrónico.
No asumas que un sitio web es legítimo solo porque su URL comienza con HTTPS.
A los perpetradores también les gusta usar páginas web con un certificado de seguridad, que incluso puede utilizarse durante 30 días de prueba u obtenerse de forma gratuita.
Casi tres cuartas partes de todos los sitios de phishing utilizan certificados SSL.
Trata con cautela los archivos adjuntos a los correos electrónicos
La forma más sencilla de identificar si un archivo es peligroso es por su extensión. Por ejemplo, un archivo con la extensión .exe es un ejecutable de Windows y no debe abrirse alegremente.
Las extensiones de archivo potencialmente peligrosas que pueden ejecutar código y contener malware son: .msi, .bat, .cmd, .hta, .scr, .pif, y reg.
Por regla general solo debes abrir estos archivos cuando sepas que son seguros.
Otra táctica común utilizada por los ciberdelincuentes es enviar por correo electrónico archivos adjuntos maliciosos con formatos .zip o .rar cifrados y protegidos por contraseña.
Este tipo de archivos son particularmente peligrosos ya que la protección con contraseña del archivo evita que los programas antivirus puedan analizarlos, y si contiene malware infectarás tu sistema al abrirlo.
Protege tu información bancaria
Ten cuidado con los correos electrónicos que solicitan números de cuenta bancaria, números de tarjetas de crédito, transferencias bancarias o informan de transacciones fallidas, ninguna persona autorizada para administrar la vacuna te pedirá datos bancarios, contraseñas, etc
En ningún caso se te exigirá un pago para la administración de la vacuna contra el coronavirus durante la situación de emergencia sanitaria.
Tampoco pagando cierta cantidad de dinero se adelantará la fecha de vacunación fuera de la establecida para cada grupo de riesgo.
Utiliza herramientas de seguridad
Instala un programa antimalware en tu dispositivo y mantenlo actualizado.
También puedes usar una herramienta de calificación de reputación de sitios web, que viene en forma de un complemento del navegador, que te advertirá si intentas visitar sitios web potencialmente peligrosos.
Por ejemplo, McAfee ofrece de forma gratuita la herramienta McAfee Web Advisor.
Pero ten en cuenta que estas herramientas no son infalibles, y tendrás que poner algo de tu parte.
Que hacer ante una estafa
En caso de detectar ofertas falsas o sospechosas en las plataformas online, los usuarios pueden ponerse en contacto con las autoridades competentes o las organizaciones de consumidores.
La Comisión Europea dispone de un recurso web sobre prácticas fraudulentas relacionadas con la COVID-19 y la red de Centros Europeos del Consumidor (CEC) ha publicado información sobre la COVID-19 destinada a los consumidores ofreciéndoles su apoyo. El sistema Safety Gate puede ayudar a identificar productos peligrosos en la UE.
