Las 4 claves para no caer en las trampas de internet

Las estafas y trampas en internet son algo del día a día. Resultados fraudulentos, sitios web que prometen cientos de dólares al visitante número 1 millón o haber sido seleccionado entre miles de cibernautas para recibir una alta suma de dinero, son algunos de los anzuelos más conocidos y que la gente ya sabe reconocer. Pero con el tiempo, la ingeniería social ha ido sumando más peligros, como el phishing y sus distintas técnicas. Con la pandemia y la gente cada vez más pendiente a sus dispositivos móviles y con más tiempo en casa, el número de casos ha crecido.

Entre enero y mayo de este año, la PDI recibió 4.967 denuncias por delitos de estafa y otras defraudaciones. La cifra representa un 104,4% más que en el mismo período de 2019 y un 89,01% más que el año pasado, siendo las regiones Metropolitana y Valparaíso las más afectadas. Danic Maldonado, Comisario de la Brigada de Cibercrimen Metropolitana, dice que gran parte de los ciberdelincuentes se han aprovechado de la contingencia y encontraron en el teletrabajo “una puerta de acceso” a los distintos usuarios.

El trabajo a distancia expuso a los trabajadores a nuevos riesgos, puesto que es en las oficinas donde existe mayor cuidado al respecto de la ciberseguridad. “Como es algo más doméstico, tenemos menos niveles de resguardo, pensando que solamente por el hecho de estar en nuestra casa será algo más seguro”, precisa Maldonado.

Pero los peligros en la red son variados. Hay quienes buscan videojuegos en línea, películas, series, libros y la lista continúa, pero siempre que se ofrezca algún servicio habrá que dar algo a cambio. Son justamente esos sitios los que son un verdadero campo minado para los usuarios, llenos de avisos y ventanas emergentes, entre otras cosas. “Hay sitios que te pueden decir que eres acreedor de un premio bastante importante, te piden tus datos para cobrar esa recompensa, pero realmente pueden utilizarlos para crear un perfil falso y cometer otros delitos”, desarrolla el comisario Maldonado. Y añade: “¿Por qué me voy a ganar un premio por el que no he participado?”.

Uno de los errores más comunes es de algunos usuarios que suelen buscar sitios webs de bancos o correo electrónico en la barra del navegador y los mismos cibercriminales toman sus propias precauciones para esos casos. La persona, al no verificar la URL original, puede caer en una trampa, porque en ocasiones los criminales pagan a los buscadores para promocionar primero sus sitios maliciosos. Los mismos buscadores, como Google, se cercioran de la naturaleza del sitio web, pero no siempre a tiempo. “Suelen tener medidas para detectar eso, pero se demoran. Y, de hecho, las grandes compañías tienen medidas para que los usuarios reporten sitios, pero a veces no lo hacen”, señala el comisario de la Brigada de Cibercrimen Metropolitana Danic Maldonado.

La mejor recomendación, en estos casos, es revisar que la dirección sea la correcta. Muchas veces, como los ciberataques no se realizan desde el territorio nacional, suelen haber errores de ortografía o caracteres adicionales. “Un hacker puede llegar a copiar mucho un sitio web para hacerte caer en una trampa tipo phishing, pero copiar la barra de direcciones para engañarte es imposible y siempre habrá alguna ‘i’ o ‘L’ de más”, asegura Francisco Santibáñez, gerente comercial de Seguridad América.

La misma regla, añade el ejecutivo, se repite cuando se trata de estafas a través de correos electrónicos. Si la dirección de la casilla es “BancoX.cl”, pero aparece “BancoXX.cl” o “BancoX.cI” (con una ‘i’ mayúscula en vez de una ‘L’ por el dominio local), es totalmente seguro afirmar que se está siendo víctima de un ataque digital. Sumado a eso, y la preocupación por las direcciones, instituciones financieras nunca envían correos electrónicos solicitando el recambio de una tarjeta de coordenadas. “Pero aún si pinchaste un enlace y te llevaron a una página similar, la instrucción es la misma y hay que verificar que sea el sitio correcto”, asegura Santibáñez.

Desde la empresa tecnológica McAfee aseguran que los usuarios deben ser cuidadosos no solo al buscar instituciones financieras, retail o sitios que debiesen ser de mayor confianza, sino también con los resultados “más abiertos” de búsqueda. “Lo mejor que se puede hacer es validar que la URL sea de confianza. Y, si buscamos ‘Cómo hacer una buena inversión’ y uno de los resultados es ‘invierta en Bitcoins aquí y gane 70% mes a mes’, la acción siguiente debería ser validar desde qué portal proviene ese dato”, dice David Nieto, ingeniero de ventas de software de McAfee Enterprise.

Otro de los pasos, dice Nieto, es copiar y pegar el enlace del sitio en portales que den un veredicto evaluando cuándo se creó, si contiene o no certificado de confianza, etc.

Algunos sitios web, como medida de resguardo, justo al lado de la barra de navegación tienen el símbolo de un candado. Esa señal es la que representa el certificado SSL, por el cual se verifica que las webs sean seguras y se incluyen algunos datos que entreguen tranquilidad a los usuarios. En caso de querer asegurarse, al hacer click se desplegará un pequeño menú que indicará que la conexión es segura. Aparecerá también el certificado emitido y los datos respectivos a su generación.

“Hay que verificar siempre que la URL sea la correcta y que haya un pequeño símbolo de candado en la parte izquierda de la web -el SSL-. Revisar la gramática para que no tenga errores, además de comprobar el registro del dominio y que aparece el ‘http’ al principio de la dirección, porque si se está introduciendo información personal, eso sirve como forma de encriptación para proteger tus datos”, resume Felipe Gómez, director de Marketing y Desarrollo de Claro Chile.

El comisario Danic Maldonado dice que los sitios web con verificación por SSL son seguros, pero existen mecanismos en los que, mediante ciberataques sofisticados, personas pueden hacer creer que un sitio es real, hacerse acreedor de esos certificados y levantar un sitio con ellos haciendo caer a alguien. “Entonces, aunque se nos entreguen certificados y eso ayude, en internet nunca podremos decir que estamos completamente seguros”, asegura el miembro de la PDI. Más allá de las medidas que puedan tomar los usuarios, Maldonado dice que se está generando mayor madurez en términos de ciberseguridad e incluso algunas compañías de telefonía están agregando barreras de advertencia y que le avisan a los cibernautas cuando están por visitar una web de origen dudoso.

Santibáñez, de Seguridad América, explica que parte de la información que se puede encontrar en los certificados SSL es quién lo emitió, para quién fue realizado, dónde se encuentra la respectiva compañía -”Puede ser un banco, aparecer de qué país es e incluso, a veces, los RUT”, señala-.

El principal consejo es ser precavido. No hacer click en avisos de poca confianza, ofertas repentinas que solucionan inquietudes que justo los usuarios tenían en mente y no rendirse ante ventanas emergentes, que prometan cuantiosas sumas de dinero. Es lo básico, pero también hay que tener en consideración que es sumamente relevante tener actualizados los software de los distintos dispositivos.

En el caso de ser un teléfono celular, es sumamente relevante tener la última actualización instalada. Los desarrolladores y empresas están constantemente sumando “parches” para que así los usuarios no tengan falla alguna ni sufran ataques. Asimismo, y es el motivo de la importancia de las actualizaciones, los cibercriminales van perfeccionando sus tácticas de ataque y vulnerando con mayor facilidad mediante la tecnología avanza.

Felipe Gómez, director de Marketing y Desarrollo de Claro Chile, asegura que el mayor uso de tecnologías avanzadas y el aumento de las conexiones han permitido a los ciberdelincuentes desarrollar ataques más veloces y dañinos. “Una solución para enfrentar este escenario es agregar el poder de la inteligencia artificial y el aprendizaje automático a plataformas que operen de manera integrada y automatizada en la red principal, así como en entornos cloud e incluso en los hogares de quienes trabajan remotamente”, señala.

“En temas de prevención de fraude, hoy se ha evolucionado mucho en las capacidades de las soluciones de seguridad para smartphones, pudiendo cubrir detecciones de spam, phishing o también detectar archivos maliciosos recibidos, programas fraudulentos en tiendas de aplicaciones o ataques en redes fraudulentas”, dice David Nieto, de McAfee, obre las protecciones que hoy en día existen para los distintos dispositivos móviles. La compañía ofrece, por ejemplo, MVISION Mobile y que cubre algunas de las principales preocupaciones en la red.

Para evitar caer en las trampas de internet y prevenir cualquier tipo de ataque, Danic Maldonado dice que de todas maneras hay que tener algún antivirus y antimalware instalado. Y, por sobre todo, tener el sistema operativo con las actualizaciones más recientes. “Porque si le preguntas a muchas personas, gran parte ni siquiera lo hace de manera recurrente”, afirma el comisario. Además de eso, asegura que es clave tener también la última versión de los navegadores, “porque algunos te permiten alertar cuando determinados sitios, a pesar de no carecer de un certificado de seguridad, no está está muy seguro del dominio de donde viene”.

Otro de los puntos necesarios para no pasar malos ratos, y sobre todo para aquellos que les gusta bajar archivos de sitios poco confiables, es no entregar permisos a las web que los solicitan o aplicaciones de dudosa procedencia. Santibáñez dice que son una zona gris, porque muchas veces se le pregunta a los usuarios si acepta cookies. “¿Pero para qué nos van a servir? Para que el navegador conozca nuestro comportamiento y sea más rápido, pero lo ideal es no dar consentimiento, porque de una u otra forma tomarán información, puede ser algún ransomware o algún tipo de virus que saque información de nuestro PC”, afirma.

El phishing, que es el conjunto de técnicas utilizadas por los criminales para hacerse con información de los usuarios, es por lejos una de las prácticas comunes. En estos casos, el ataque no tiene un origen tecnológico, sino que se refiere a un engaño humano. Existen casos en que supuestos repartidores llaman y piden un código de confirmación, y en la sorpresa los usuarios entregan una clave de verificación con la que pueden “secuestrarle WhatsApp”, por ejemplo; recibir un llamado de un supuesto técnico del proveedor de internet para verificar el servicio y pide confirmar la clave WiFi, por la cual se le entrega acceso a otra persona; entre otras.

Dentro del phishing se encuentra el vishing, que es el realizado por una llamada telefónica; el smishing, que es a través de un SMS y que han habido repetidos casos de mensajes de supuestos bancos que piden cambiar la tarjeta de coordenadas; el whaling, que es un ataque directo a los ejecutivos de alto rango; entre otros tantos. “Para cualquiera de estos ejemplo el denominador común es la valides de la fuente, y si aun existen dudas simplemente corte la llamada, el contacto por correo o no haga click donde se pide”, dice Nieto, de McAfee. “Hoy en día, si algo es muy urgente y se trata de un banco, te va a contactar por otros medios y no por correo”, puntualiza el comisario de la Brigada de Cibercrimen Metropolitana, Danic Maldonado.