“Mándenos su carnet para ayudarlo con su proceso de postulación”: Así funcionan las estafas para retirar el 10% de la AFP

En el mundo, la pandemia hizo que los ataques informáticos de todo tipo aumentaran drásticamente. Según la empresa Kaspersky, se detectaron más de 300 dominios de “phishing” relacionados a la pandemia, y otros 35 sitios fueron utilizados para propagar malware (software malicioso) sólo entre el 1 de febrero y la primera quincena de marzo.

También se detectó un fuerte aumento en el volumen de malware destinado a robar credenciales y dinero de las cuentas bancarias de los usuarios. De hecho, en el primer trimestre de 2020, se encontraron 42.115 archivos de este tipo de malware, dos veces y media más que en el cuarto trimestre de 2019.

Google por su parte, señaló que en una semana hubo alrededor de 18 millones de correos electrónicos diarios de malware y phishing relacionados con Covid-19, lo cual se suma a los más de 240 millones de mensajes de spam diarios por el mismo motivo.

En el caso de América Latina, el número de ataques se incrementó significativamente, alcanzando la cifra de 83,7 millones en abril frente a los 18,5 millones de febrero.

En Chile esto se agrava si consideramos que, según datos de Kaspersky, un 41% de los usuarios desconoce que su celular puede ser hackeado y los ataques a personas en modalidad home office aumentaron un 500% durante la pandemia. Un 73% de los teletrabajadores no recibió orientación sobre ciberseguridad, y las noticias falsas, una de las vías preferidas de engaño, son incapaces de ser identificadas por un 70% de los chilenos.

Finalmente, como causa indirecta de hackeo, más de la mitad de los niños en Chile tiene perfil en redes sociales y sólo 1 de cada 10 padres conoce lo que publican. Muchos usan los celulares de sus padres para entrar a juegos y otros.

Hace algunos días, la Policía de Investigaciones alertó sobre cinco tipos de intentos de estafas, como estar entre los 10 primeros en enviar los datos personales para ser parte del primer grupo que logre retirar los fondos, y el más reciente se relaciona con el envío de una foto por ambos lados del carnet de identidad para ayudar al usuario al proceso de postulación para el retiro del 10% de la AFP.

Otro intento de engaño fue advertido hoy por la Superintendencia de Pensiones, con un mensaje en donde se solicita un supuesto catastro de los datos de los afiliados al sistema de pensiones, debido a la pandemia. “Ni esta institución ni las AFP están realizando ningún catastro de datos ni solicitarán ingresar a un link en mensajes o correos electrónicos”, afirma el organismo.

Según la Fiscalía Local de Coyhaique, no se descarta que próximamente también pudieran empezar a efectuarse llamados telefónicos, mensajes de texto o envío de correos electrónicos fraudulentos, tratando de engañar y sustraer los dineros a las víctimas.

Las razones para este aumento, de acuerdo a la empresa Novared, son varias: negocios y pymes han tecnificado sus procesos con el fin de seguir funcionando, pero sin la infraestructura de seguridad necesaria; el temor de las personas y la ansiedad por informarse llevan a buscar información relacionada a la pandemia, derivando en noticias falsas; ofertas y engaños por internet o WhatsApp relacionados a productos de cuidado personal y limpieza; solicitud para actualizar sus métodos de pagos por internet; links falsos que ofrecen métodos de entretención, películas, etc. o invitaciones a reuniones o seminarios por un monto muy pequeño.

El “phishing” es uno de los métodos mas utilizados por criminales cibernéticos para estafar y obtener información confidencial de forma fraudulenta, como contraseñas, datos de tarjetas de crédito u otra información bancaria. En Chile las cifras son elocuentes: según Kaspersky, el promedio de ataques de phishing bloqueados entre enero y junio fue de 5.286 al día.

Y tal como si fuese un anzuelo, las alternativas utilizadas son varias: campeonatos mundiales de fútbol, cuentas gratis en Netflix, el estallido social de octubre, la pandemia, u hoy el retiro del 10% de la AFP son algunos de los métodos con los que delincuentes informáticos intentan hacer caer a las víctimas.

Kaspersky asegura que los cibercriminales utilizan con mayor frecuencia Netflix y The Mandalorian (de Disney+) como señuelo. Entre enero de 2019 y el 8 de abril, más de 5 mil usuarios estuvieron expuestos a varias amenazas al intentar obtener acceso a Netflix a través de archivos no oficiales que usaban su nombre. En total, se detectaron más de 22 mil intentos de infección que utilizaron a la plataforma de streaming como señuelo. Cuando se trata de programas originales en plataformas de transmisión, The Mandalorian fue el programa más explotado por usuarios maliciosos, con un total de 1.614 usuarios expuestos y 5.855 intentos de infección registrados.

“Es natural que los criminales adapten la temática de sus ataques al interés de la gente. Siempre que existen anuncios o eventos importantes el número aumenta y luego disminuye para ser reemplazado por otro. Por ejemplo, en Chile registramos un gran incremento de ataques de phishing al inicio de a pandemia”, indica Fabio Assolini, analista senior de la firma de seguridad Kaspersky.

El experto asegura que en Brasil -donde más se realizan ataques en Latinoamérica-, el gobierno entregó una ayuda de emergencia de 120 dólares diarios para enfrentar la pandemia a través de la banca oficial del Estado. A los pocos días el número de estafas relacionadas al tema aumentó, y el banco perdió más de 10 millones de dólares.

Assolini explica que la llamada “ingeniería social” tiene mucho que ver en este tipo de ataques: “En el fondo se intenta despertar algo urgente: atraer a la víctima con un problema en su tarjeta, el aviso de un monto alto en su cuenta para que la víctima confirme, noticias de emergencia, etc.

“Todos los engaños cumplen tres pasos: una ‘llamada’ de emergencia (un hackeo en la cuenta por ejemplo), luego realizar una acción (se sugiere cambiar la contraseña), y hacer clic en un enlace vía mensaje de texto (SMS) o WhatsApp. Así, la gente es direccionada a la página falsa -un clon del sitio original- que recopila la información de las víctimas”, puntualiza el especialista en seguridad.

“Lamentablemente, crear este tipo de sitios es muy fácil: con un poco de conocimientos de informática existen programas gratis que crean una copia, con lo que se prepara el engaño y lo más complejo es distribuir el mensaje”, agrega.

“Ahí es cuando entra el ‘spam’, o envío masivo del fraude. Incluso si el criminal no sabe del tema, el envío de SMS es relativamente barato y se contrata, o bien recurren a otros delincuentes que hacen la reventa de esta base de datos. Básicamente la inversión del criminal para empezar el fraude es baja y con tres víctimas el criminal recupera la inversión inicial”, dice Assolini.

El experto también asegura que la popularidad de los smartphones también ayuda a ampliar la llegada de las estafas, ya que es muy barato hacer envíos de SMS: “Ha habido una gran migración a la banca móvil y al ser práctico la gente lo ha acogido, ya que es sencillo sacar el teléfono del bolsillo, poner los datos y entrar. Es más rápido que un PC de escritorio”, dice.

“Sin embargo, en muchos bancos las formas de autenticación en el móvil son menos rigurosas que en el computador, y por eso los criminales también migraron a estas plataformas. Se aprovechan que en la app del celular la autenticación es más sencilla y hacen el robo. WhatsApp también ayudó mucho a aumentar las cifras de estos hechos”, añade el experto.

En cuanto a los consejos de seguridad, Assolini indica que lo esencial es proteger el dispositivo móvil con un antivirus, que evalúa los mensajes y enlaces y bloquea el acceso en caso que el sitio sea malicioso. Lo mismo ocurre si se intenta instalar una app maliciosa que robe las credenciales bancarias.

Otro dato habitual es usar canales oficiales ofrecidos por los bancos, como la aplicación o el sitio, porque es común que una de las vías más usadas por los criminales es la instalación de una app maliciosa vía correo electrónico, mensaje de texto o WhatsApp.

En estos casos también es útil fijarse en la ortografía del mensaje, ya que muchas veces entrega indicios que hay algo raro, así como verificar en la URL (barra de direcciones) que la dirección sea la correcta.

Desde la Comisión para el Mercado Financiero (CMF), responsable de la supervisión de los mercados de valores, seguros y bancos e instituciones financieras, señalan que se puso en marcha un plan reforzado de fiscalización destinado a monitorear el proceso de retiro de hasta un 10% de los fondos previsionales por parte de los afiliados.

La CMF instruyó a la industria bancaria para adoptar las medidas necesarias para la oportuna atención e información de la ciudadana, enfatizando el uso de canales remotos y la prevención de fraudes.

Otros consejos:

-Nunca entregar los datos por correo electrónico o sistemas de mensajería, ya que los bancos jamás solicitarán información financiera o de tarjetas de crédito.

-Si duda de la veracidad del correo, jamás hacer clic en los vínculos.

-Si existen dudas de la veracidad del mail, llamar o dar aviso en las redes sociales del banco en cuestión. Nada se pierde con preguntar.

-Ignorar cualquier oferta que parezca sospechosa. Si es demasiado bueno para ser cierto, probablemente sea falso.

-Comprobar que la página web en la que ha entrado es una dirección segura: debería comenzar con “https://” y un pequeño candado cerrado en la barra de estado del navegador. Este punto a veces ha sido emulado, pero no es la regla general.

-Comprobar la correcta escritura en la dirección del sitio web a visitar, ya que existen cientos de intentos de engaños de las páginas más populares con solo una o dos letras de diferencia.

-Si sospecha que fue víctima de algún fraude, cambiar inmediatamente las contraseñas y contactar a la empresa o entidad bancaria.