Consejos de ciberseguridad para Black Friday y Cyber Monday
Es recomendable tomar precauciones al momento de hacer diferentes transacciones electrónicas. Foto: Pixabay
Cuando se trata de buscar seguridad en las compras que uno pueda realizar tanto ‘online’ como ‘offline’, un poco de precaución puede ser de mucha ayuda.
La idea de aprovechar los descuentos por la cercanía de la temporada navideña hace que varias amenazas informáticas resurjan, lo que puede representar un peligro para más de un consumidor.
A continuación presentamos varios consejos que pueden ayudar a la hora de realizar transacciones que involucren el uso de tarjetas de débito, crédito e incluso de las credenciales en línea.
Ojo con los skimmer
El Skimmer es un dispositivo que se ha utilizado desde hace algún tiempo de diferentes maneras. Es básicamente un clonador de tarjetas de crédito o de débito, que tiene características similares a las de un cajero automático.
La idea de este dispositivo es que se sobrepone sobre un cajero automático real, para clonar la tarjeta de los usuarios que utilicen dicho cajero. Estos dispositivos suelen utilizarse en conjunto con micro cámaras de video, que son utilizadas para grabar la clave que introducen los usuarios.
Una recomendación para evitar este tipo de estafa es la de revisar los bordes del dispositivo que acepta las tarjetas. Si se ha colocado un Skimmer encima, es probable que se encuentre rayones, raspones o rastros de pegamento alrededor de la ranura.
Otra amenaza reciente se ha denominado de forma similar, pero su actuación es muy distinta. Se trata de Skimer, un ‘malware’ que afecta a cajeros automáticos.
Llamadas falsas de soporte en línea
Esto suele ocurrir en cualquier época del año, pero en las épocas navideñas suele incrementarse la incidencia. Se trata de llamadas de personas que se hacen pasar por representantes de instituciones bancarias para obtener datos personales de los usuarios.
También suele ocurrir en algunos casos que los estafadores se hacen pasar por representantes de grandes cadenas de supermercados, y ofrecen supuestas ofertas, indicando que para acceder a los descuentos o regalos, basta con entregar información.
Lo primero que hay que tener presente en estos casos es que, en el caso de los bancos, usualmente no llamarán a pedir información personal, porque ya la tienen. Si llega a darse el caso, la mejor forma de asegurarse es preguntarle a la persona cuál es la información que ya tiene registrada, para confirmar si es la correcta.
Por ejemplo, si la persona que llama pregunta algo como “¿Me podría facilitar su número de teléfono celular?”, se puede devolver la pregunta diciendo “Indíqueme por favor qué número es el que tienen registrado en el banco”. Los asesores de las entidades bancarias suelen tener acceso a parte de esta información.
En el caso de las supuestas ofertas de centros comerciales, hay que tener en cuenta que este tipo de ofertas primero suelen anunciarse por canales oficiales, y rara vez por llamadas personales. Si alguien llama, es mejor no entregar datos personales y revisar las páginas web y las redes sociales de estos centros de comercio para confirmar si hay alguna promoción vigente.
En resumen: es muy difícil ganar una lotería de la cual uno no ha comprado el boleto.
Phishing
Esta técnica de estafa utiliza el correo electrónico para engañar a los usuarios. Se trata de correos que supuestamente llegan de una entidad bancaria, de una cadena de supermercados, o diferentes instituciones. Incluso se ha visto casos en los que los correos se muestran como noticias de periódicos en línea.
El denominador común es que usualmente estos correos suelen tener un enlace, y un mensaje que invita a los lectores a acceder de una u otra forma: ya sea por medio de supuestas ofertas, premios o incluso noticias falsas. A veces, incluso lo que piden es que se cambie la contraseña porque se ha encontrado “actividad inusual” en la cuenta del usuario.
Durante 2015, Ecuador y Brasil fueron los países de Latinoamérica que más ataques de este tipo registraron.
Para evitar problemas con este tipo de estafas, siempre es conveniente recordar que si alguien envía por correo algo que parece demasiado bueno para ser verdad, es probable que no sea verdad. Si existe la más mínima duda, vale revisar con más profundidad el correo.
Hay algunas claves que permiten detectar si un correo es falso. El primero es la ortografía; muchos correos fraudulentos no respetan las más simples reglas de sintaxis. Incluso los mensajes suelen tener palabras sin tilde, y a veces sin las letras completas.
Ahora, que un correo que parece ser oficial muestre estos signos no quiere decir automáticamente que sea falso, pero ya levanta sospechas.
El siguiente paso para detectar es revisar bien la dirección desde la que se envía. En ocasiones, los estafadores usan direcciones en las que se ha reemplazado una letra (la “i” por la “l”, por ejemplo). Este simple cambio puede marcar la diferencia entre un correo que sea, por ejemplo, de banco@bancoimaginario.com y otro que sea de banco@bancolmaginario.com.
La información de remitente es algo en lo que la mayoría de personas no se fijan, pero también puede dar claves sobre un correo falso.
Dado el caso, también se puede revisar la dirección del remitente en la web spamhaus.org ; este sito permite revisar si un dominio de correo electrónico ha sido reportado como posible fraude.
La otra clave fundamental está en el mismo enlace. Es conveniente revisar que en efecto, el enlace que se muestra en el correo pertenezca a la institución que envía el correo. Si se recibe un correo del Banco Imaginario, pero el enlace lleva a una web que no es la del banco, pues puede tratarse de una estafa.
Para revisar si un enlace es fraudulento, se puede utilizar la web urlquery.net, que es un servicio en línea que detecta ataques de ‘malware’ basados en web.
¿Es seguro usar puntos de WiFi públicos?
La respuesta corta es: No. La respuesta un poco menos corta: es posible crear un punto WiFi falso para robar la información de los usuarios, o incluso instalar programas maliciosos en teléfonos móviles que permitan espiar las actividades de sus usuarios.
Aunque el proceso es relativamente complejo, hasta un niño puede hacerlo. Es el caso de Evan Robertson, quien a la edad de 10 años llevó un proyecto de ciencia de su escuela a la feria de seguridad informática Def Con este año.
Evan creó un punto de WiFi gratuito mediante el uso de una placa Raspberry Pi, y tras programarla adecuadamente, creó un punto de acceso bajo el nombre “WiFi público gratuito”, y permitió que la gente se conecte con solo aceptar unos Términos y Condiciones que en su parte central decían que los usuarios que se conecten accedían a que su teléfono fuera modificado de cualquier forma, incluyendo la recolección de datos personales y de autenticación, e incluso la instalación de programas que inutilicen el teléfono. Evan planteó la hipótesis de que al menos 50% de las personas que se conectarían a su punto de WiFi ignorarían los Términos y Condiciones. Junto con su padre, Evan probó su teoría llevando su punto WiFi a un centro comercial en su natal Texas durante las ventas tanto de Black Friday como del Día de la Madre.
De 76 personas que se conectaron, 40 aceptaron los términos y condiciones sin leerlos, es decir, un 52%.
De hecho, incluso durante la conferencia de ciberseguridad, cuando Evan prendió su dispositivo para hacer una demostración, al menos 4 personas se conectaron sin revisar los Términos y Condiciones.
Así que, aunque la tentación de conectarse a Internet de forma gratuita pueda ser grande, es mejor no hacerlo si uno se encuentra de un sitio de poca confianza o si se conoce quien es el proveedor del servicio.
Y la recomendación final es evitar hacer transacciones bancarias o compras en línea mientras se está conectado a una red WiFi. Ese tipo de actividades es mejor realizarlas desde casa, con una conexión por cable de red.
Actualizaciones y parches
Esto aplica tanto para sistemas operativos como para navegadores y complementos. La mayoría de ocasiones, tanto Windows como MacOS tienen funciones de actualización automática. Basta con autorizar esta función.
Pero si ha pasado un tiempo desde la última actualización, es probable que sea necesario hacerlo manualmente.
Los programas para navegar en Internet también proveen constantemente de actualizaciones, y muchas se realizan en automático.
Mantenerse al día puede ayudar a prevenir que ciberdelincuentes usen vulnerabilidades existentes en versiones anteriores de los navegadores, lo que les podría permitir acceder a la información de los usuarios.
Autentificación de dos factores
Algunas instituciones bancarias en el país ofrecen este servicio, y es de mucha utilidad para evitar posibles infiltraciones en las cuentas en línea.
Se trata de un código que las instituciones envían al usuario, bien sea por correo electrónico o por mensaje de texto, el cual se utiliza para validar transacciones como transferencias de dinero o el mismo ingreso a la banca en línea.
Servicios en línea como Google también tienen esta función para acceso a Gmail desde cualquier computador remoto. La compañía ha creado una aplicación llamada Google Authenticator.
Esta ‘app’ genera de manera aleatoria un código de 6 números que debe ser ingresado además de la contraseña al momento de revisar el correo electrónico, añadiendo un factor más de seguridad en caso de que alguien haya logrado acceder a nuestra clave.
