“Phishing”: ¿qué es y cómo detectar una estafa virtual?

Una técnica para obtener información confidencial de los usuarios a través de correos electrónicos falsos que también llegó a Instagram.

Algunas entidades bancarias del país, entre ellas el Banco de la Nación Argentina, han enviado alertas a sus clientes acerca de una técnica de ciberdelito que sigue vigente y que se ha ido adaptando también a las nuevas plataformas digitales, como Instagram. Los famosos sorteos realizados por las principales marcas y empresas suelen ser el mejor anzuelo utilizado por los estafadores.

“Phishing”, nombre por el que se conoce este tipo de estafa virtual, es una palabra en inglés cuya traducción brinda pistas sobre el objetivo que tienen los ciberdelincuentes: “suplantación de la identidad”. Para lograr “captar” la identidad de los usuarios a través de sus datos personales y confidenciales, los ciberdelincuentes arman una especie de ingeniería digital que se compone de correos electrónicos falsos y enlaces que redirigen a páginas web falsas con formularios y preguntas. 

Para que los usuarios “caigan” en la trampa, los estafadores del ciberespacio se camuflan tras el nombre de bancos, servicios de pago, mercado de compra en línea o proveedores de servicios públicos y más. Los usuarios reciben un correo electrónico con un mensaje que suele ser muy convincente, ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de Internet.

Por diferentes motivos, muy bien justificados (la mayoría de las veces), se solicita verificar o modificar datos personales, para lo cual se debe ingresar a un determinado sitio web, que simula ser el de la “entidad solicitante”.  La clave del engaño se encuentra en el parecido entre las direcciones web del sitio auténtico y el apócrifo, por ejemplo: no es lo mismo “netflix.com” que “netflix.io”, esta última dirección url es falsa. Esta técnica también es aplicada a la dirección desde la cual se envía el “correo anzuelo”.

El Ministerio de Justicia de la Nación advierte a través de su página web que además estos correos falsos pueden solicitar rellenar formularios o hacer clic en un enlace para obtener alguna información o archivo clave, hacer clic en un enlace que redirige a una página de registro falsa y/o descargar un archivo adjunto importante.

Al continuar con el proceso, el usuario le posibilita a los ciberdelincuentes obtener sus datos personales, contraseñas, números de tarjetas de crédito, número de documento, CUIT o CUIL, nombres de usuario y códigos de PIN. Una vez que los estafadores obtienen esa información, hacen uso de la identidad robada virtualmente para realizar compras, reservas o extracciones de dinero, entre otros. 

En el contexto de pandemia y de la evolución del Plan Nacional de Vacunación, este tipo de delito también se intenta a través de formularios “falsos” para engañar a personas que quieren realzar la inscripción para recibir el turno de vacunación. Esto fue advertido por las autoridades y se resalta que esa solicitud sólo se puede realizar a través de la página oficial del gobierno de la provincia.

Instagram, otro espacio para el ciberdelito

La forma de hacer llegar enlaces fraudulentos a los usuarios no sólo queda en los límites de los servidores de correo electrónicos y fue ganando lugar en las redes sociales más utilizadas. Instagram hoy es el un espacio de publicidad e interacción con los clientes para todas las empresas y las marcas. Entre las estrategias de marketing y publicidad, muchas de ellas recurren a realizar grandes sorteos. Esto representa una gran oportunidad para los delincuentes del ciberespacio. 

Cuando una marca reconocida anuncia un sorteo y sus condiciones para participar, los delincuentes montan perfiles truchos con nombres de usuarios similares al de la marca, con modificaciones casi imperceptibles, en los que sólo varía una letra, la mayoría de las veces, y utilizan la misma foto de perfil.

A medida que los usuarios ponen “me gusta” en la publicación original y verdadera del sorteo, los perfiles truchos comienzan a “seguir” a cada uno de ellos y envían mensajes privados como si fueran la marca verdadera agradeciendo la participación y anunciando que con sólo participar ya han obtenido un “premio sorpresa” que será enviado a sus domicilios por lo que deben completar un formularios con sus datos.

Para evitar caer en la trampa, es recomendable siempre prestar verdadera atención al remitente (correo electrónico o perfil de las redes sociales), y chequear con el original de la empresa, banco o marca, verificar el certificado de seguridad de páginas de internet a través del candado gris o verde, chequear que los perfiles de redes sociales tengan el símbolo de autenticación, y fundamentalmente no completar formularios de dudosa procedencia. 

El “phishing” es un delito informático, contemplado en la ley nacional N° 26.388, y se puede denunciar en las unidades fiscales especializadas. También se puede hacer la denuncia ante la dependencia policial más cercana al domicilio (comisaría del barrio en cualquier lugar del país).

  • Unidad Fiscal Especializada en Ciberdelincuencia – (UFECI): Teléfono: (5411) 5071-0040
  • Dirección Nacional de Protección de Datos Personales: Teléfono: (54-11) 2821-0047

 

 

 

Artículos Relacionados

Volver al botón superior