Seguro que más de una vez has visto o interactuado con estafas cibernéticas. Puede que hayas sido víctimas de alguna de las prácticas más frecuentes como el phishing o smishing. Sin embargo, los ciberdelincuentes están tratando de desarrollar estafas cada vez más imperceptibles para estafar a la ciudadanía.
En los últimos meses se han viralizado vídeos sobre unas nuevas estafas cibernéticas. En esta ocasión, los ciberdelincuentes aprovechan falsos perfiles de códigos QR para incautar los datos personales de las víctimas. Otras técnicas nuevas de ingeniería social son el skimming y el carding. En este artículo te explicamos en qué consiste cada una.
Ciberdelincuencia con los códigos QR
Los códigos QR revivieron durante la pandemia. Desde entonces, estos códigos de barras digitales resultan indispensables para leer la carta de un restaurante o para llevar el certificado de vacunación de la COVID-19. A la vez que esta tecnología ha ido en ascenso, también ha crecido de manera paralela la actividad delictiva.
¿Cómo es el modus operandi de los delincuentes? Los ciberdelincuentes sustituyen códigos reales de restaurantes o de multas de estacionamiento, por ejemplo, por otros falsos que redirigen al usuario a una página web que suplanta a la de la empresa y que solicita información confidencial. De acuerdo con el Banco de España (BDE), las estafas más habituales son los siguientes:
- Multas de tráfico con un QR que conduce a una web falsa para el pago de la sanción, pero realmente es el ciberdelincuente el que recibe el importe.
- Un tipo de estafa conocida como QR inverso, realizada a camareros al pagar la cuenta. El presunto delincuente enseña a la víctima un código QR vinculado a su propia entidad bancaria, cuando en realidad se trata de una solicitud de dinero. Asimismo, logra hacerse con sus datos personales y bancarios.
- Combinado con otras técnicas, como la instalación de malware o webs que suplantan páginas reales (web spoofing) para que facilites datos personales.
- Colocando pegatinas encima el código QR real en un establecimiento comercial.
Otro ataque que pueden provocar es la descarga de malware o inyección de código malicioso. Consiste en la descarga de manera forzada de software malicioso cuando el usuario visita el sitio web. El malware pretende “filtrar la información confidencial, suscribirse a servicios premium o visualizar anuncios de forma silenciosa sin que el usuario lo sepa, obtener acceso a diferentes elementos del dispositivo (micrófono, cámara…), acceder a los datos del navegador o enviar correos electrónicos”, se puede leer en el blog del Instituto Nacional de Ciberseguridad.
Cuidado con el skimming y el carding (y tus tarjetas de crédito)
Ambos ciberataques están relacionados con la manipulación de las tarjetas de crédito. El skimming consiste en el duplicado de los datos de la tarjeta a través de dispositivos que pueden estar camuflados en cajeros con el fin de obtener esos datos que se encuentran en la banda magnética. “El objetivo es clonación de tarjetas para ser usadas en cajeros automáticos, robando el dinero de sus legítimo dueños”, señala la Guardia Civil en su cuenta de Twitter.
El #skimming es la clonación de tarjetas para ser usadas en cajeros automáticos, robando el dinero de sus legítimo dueños.
— Guardia Civil (@guardiacivil) March 22, 2021
Cuando vayas a sacar dinero realiza un examen superficial del cajero.pic.twitter.com/6KLTFTcacK
El carding utiliza la información de tarjetas robadas, para estafar a los incautos. Pueden adquirir esta información desarrollando distintas técnicas, el envío de enlaces, falsas páginas web, las notificaciones de supuestas compañías telefónicas, etc. Todo son ejemplos de ingeniería social como el phishing o el smishing.
“Los ciberdelincuentes comienzan realizando compras de productos o servicios de importe bajo y los irán aumentando para así tratar de determinar el saldo disponible de la tarjeta”, explica el Instituto Nacional de Ciberseguridad. Este tipo de ataques incrementan en periodos de rebajas o campañas comerciales, ya que así aprovechan la sobrecarga de transacciones de las víctimas.
Consejos y recomendaciones para evitar caer en estas estafas
Se aconseja consultar con el establecimiento en el caso en que, al escanear el código QR, se redirija a una web sospechosa. Y si el usuario hubiera proporcionado sus datos en el formulario de pago falso, que contacte inmediatamente con la entidad bancaria.
Es fundamental prestar atención al cajero automático, comprobar que el teclado o el puerto para la tarjeta no estén manipulados. Al realizar un pago por internet, es importante que requieran autorización bancaria. Ninguna entidad bancaria requiere que facilites esta información por teléfono móvil, correo o SMS.
Fuentes
El blog del Instituto Nacional de Ciberseguridad (INCIBE)
Cuenta oficial de la Guardia Civil en Twitter
Banco de España (BDE)