Ciberseguridad: las estafas más virales de 2023

Estafas que suplantan la identidad de las instituciones, comercios online, bancos o empresas de alto renombre son cada vez más habituales. Desde INFOVERITAS hemos detectado algunas campañas de ingeniería social que aprovechan la vulnerabilidad de los usuarios para secuestrar sus datos bancarios o personales.

Smishing, vishing, phishing… todo ello son técnicas con las que actúan los ciberdelincuentes para hacer creíbles sus fraudes. SMS, correos electrónicos o llamadas telefónicas para conseguir los datos personales y bancarios de los ciudadanos. Por ejemplo, este supuesto mensaje que se hacía pasar por la Seguridad Social para adquirir una nueva tarjeta sanitaria o esta página que suplantaba el dominio de Lefties.

Las estafas en internet siguen creciendo de manera exponencial y son cada vez más sofisticadas. En este artículo recopilamos las cinco estafas más comunes de 2023.

El Mundo no ha publicado esta entrevista al presidente de Repsol en la que habla de oportunidades de inversión 

El Mundo no ha publicado una noticia en la que Antonio Brufau, presidente de Repsol, habla de oportunidades de inversión. Desde la empresa han confirmado a INFOVERITAS que se trata de una información falsa con declaraciones falsas. Es un caso de suplantación de identidad de la web de El Mundo.

Desde INCIBE aseguran que se trata de un caso de suplantación que podría catalogarse como phishing, una técnica fraudulenta utilizada por los ciberdelincuentes que tiene como objetivo robar información privada o realizar un cargo económico, entre otras cuestiones. “El diseño de la misma hace creer al usuario, en todo momento, que está en la página del periódico, cuando en realidad no lo es. Usan su logo, colores corporativos, menús principales, etc.”, afirman desde INCIBE.  

Tal y como informa la Oficina de Seguridad del Internauta (OSI) son ya “varios los personajes populares que han visto cómo se ha utilizado su imagen para promocionar estafas o negocios fraudulentos a través de Internet”. 

CaixaBank no ha demandado a Cristina “Pedrosa” por revelar una plataforma de inversión “en la que ganó 360 millones de euros” 

Es falso que CaixaBank haya denunciado a Cristina Pedroche por dar a conocer en La Resistencia una plataforma de inversión. Desde el departamento de comunicación de la entidad bancaria confirman a INFOVERITAS que se trata de un anuncio falso. Además, la web donde está publicada la “información”, titulada “CaixaBank demanda a Cristina Pedrosa por ruptura del silencio sobre la plataforma de inversión en la que ganó 360 millones de euros.” (sic), suplanta a la página del diario El País. 

Desde la Oficina de Seguridad del Internauta (OSI) explican cómo se ven afectados los medios de comunicación, “ya que esta situación afecta a su imagen y reputación”, pues “estos anuncios no han sido elaborados por las redacciones de las páginas web en las que se encuentran, sino que forman parte del espacio publicitario que han comprado de manera legítima los ciberdelincuentes para insertar la publicidad fraudulenta”.   

Estos intentos de fraudes funcionan mediante “la reputación de los medios de comunicación y de personas famosas para intentar engañar al usuario”. De esta forma, los ciberdelincuentes intentan convencerle para que ingrese una cantidad de dinero o deje constancia de sus datos bancarios en un formulario “proporcionado por los atacantes o, incluso, para infectar su equipo con malware”.  

Cuidado si Banco Santander o BBVA te envían por correo una factura, es un malware

En este caso, el usuario recibe el siguiente mensaje: “Muy Sres nuestros. Se adjunta carta de liquidación. Antentamente” (sic). En el correo electrónico se adjunta un archivo, supuestamente la factura o la liquidación del pago. 

Si has recibido este mensaje de correo electrónico o un email similar a este, elimínalo lo antes posible, ya que se trata de una estafa. En esta ocasión, los ciberdelincuentes distribuyen un archivo malware de tipo troyano. 

“Todos los mensajes detectados en esta ocasión tienen o un fichero adjunto comprimido en formato .zip cuyos nombres son secuencias alfanuméricas, por ejemplo: 08.2017_FACTURA.zip, o directamente una hoja de cálculo con nombres como: FACV201700005155.xls”, informan desde OSI. Se trata de un virus de tipo troyano para conseguir los datos financieros de las víctimas y tomar el control de las mismas. 

Renfe no sortea tarjetas regalo por Navidad para viajar gratis durante un año  

Como sucede en épocas como las rebajas, muchos delincuentes aprovechan la Navidad y la ilusión de estas fechas para estafar a la ciudadanía. Para evitar los fraudes de esta época de año, de acuerdo al Instituto Nacional de Ciberseguridad (INCIBE), la primera regla es revisar bien los enlaces de la página web donde se realizan las compras, o donde se ofrecen productos a precios irrisorios.

Este supuesto sorteo en nombre de Renfe de 1.000 tarjetas para viajar gratis durante el próximo año es en realidad una estafa. Mucho cuidado si has recibido a través de tus canales personales un mensaje con esta supuesta acción promocional para participar en un sorteo para ganar una tarjeta regalo con la que viajar gratis durante un año por Navidad. Se trata de un nuevo caso de phisihing. La propia empresa ferroviaria ha confirmado a INFOVERITAS que se trata de un fraude y que no está llevando a cabo ninguna promoción de este tipo.  

**Cuidado con este email con falsas facturas de Endesa: descarga un virus**

Se trata de una campaña de malware distribuida por correo electrónico. El objetivo de esta acción maliciosa es instalar un código conocido como “Grandoreiro” en el dispositivo de los incautos. En el mensaje se insta al usuario a que descargue su factura correspondiente al período entre el 31 de marzo y 25 de abril a través de un enlace, unido al correo.

En este caso, el usuario recibe el siguiente mensaje: “Hola, gracias por usar la factura electrónica. Ya puedes consultar tu última factura”. En el correo electrónico se adjunta un archivo, supuestamente la factura o la liquidación del pago.

En el cuerpo del mensaje se adjunta la supuesta factura como archivo comprimido .zip. Sin embargo, se trata de un archivo .msi, “un archivo ejecutable que en este caso contiene un código malicioso”, define la Oficina de Seguridad del Internauta.

En la cuenta de Twitter de Endesa Clientes, la compañía eléctrica advierte de que nunca envía sus facturas a través de un archivo adjunto. INFOVERITAS se ha puesto en contacto con la sala de prensa de Endesa, que señala de que el principal canal de comunicación con los clientes es desde la página web, el área del cliente. “Todos los datos estarán siempre a disposición de nuestros clientes”, informan.

Desde la página web de Endesa advierten de que suelen estar al tanto de este tipo de timos y contraatacan para salvaguardar la seguridad de las credenciales de sus clientes. Esta empresa avisa a los usuarios de que, en caso de recibir cualquier correo o llamada sospechosa, “contacte con el servicio oficial de atención al cliente de Endesa”.