Así acceden a tus redes sociales los ciberdelincuentes: de las peticiones de amistad a las estafas románticas

FERNANDO ANAYANOTICIA30.11.2022 - 07:00h
Protege tu ordenador o 'smartphone' de ataques maliciosos en la web.
Protege tu ordenador o 'smartphone' de ataques maliciosos en la web.
Freepik
Protege tu ordenador o 'smartphone' de ataques maliciosos en la web.
Fernando Anaya

FERNANDO ANAYA

  • Country manager de Proofpoint para España y Portugal.

Las redes sociales se han convertido en uno de los espacios más codiciados por los ciberdelincuentes para sus ataques dirigidos. La mayoría de los usuarios tiene al menos una cuenta en estas plataformas, por lo que ahí es donde pueden encontrar a un mayor número de posibles víctimas. Solo en España hay casi 41 millones de usuarios de redes sociales, según el informe Digital 2022 de la plataforma Hootsuite y la agencia We Are Social.

Al ser además un entorno informal y pertenecer a la vida personal de los usuarios, muchos bajan sus defensas cuando las utilizan. ¿Quién no se ha conectado estando cansado al salir del trabajo o aburrido en una cola? Todo eso influye en que seamos una presa fácil para atacantes deseosos de acceder a credenciales, instalar malware en dispositivos o robar dinero.

Entre las amenazas a las que se pueden enfrentar los usuarios en redes sociales destacan las siguientes:

Suplantación de identidad

La Policía Nacional alerta de la estafa de suplantación de identidad de Interpol
La Policía Nacional alerta de la estafa de suplantación de identidad de Interpol
20M EP

Suele ser habitual que los ciberdelincuentes se hagan pasar por alguien al que el usuario conoce o por algún supuesto representante de una organización que sea de su confianza. La posible víctima puede recibir un mensaje por redes sociales aparentemente de un amigo que pide dinero por alguna circunstancia, como que le han robado y necesita dinero para volver a casa, logrando que finalmente acceda a hacer esa transferencia fraudulenta. O atender una notificación de Hacienda en la que se le pide realizar una acción urgente, ya sea hacer clic en un enlace para acceder a unos datos o confirmar una dirección. La ingeniería social de los ciberdelincuentes consigue cualquiera de estos objetivos casi sin levantar sospechas.

‘Phishing’

Así son los mensajes que ha encontrado la OSI.
Así son los mensajes que ha encontrado la OSI.
OSI

Estos ataques se producen principalmente de dos maneras distintas: la primera, mediante un correo electrónico que parece proceder de la propia red social donde se informa de que la contraseña ha sido comprometida, instando al usuario a dejar sus datos en una página de inicio de sesión fraudulenta; y el segundo tipo puede darse a través de solicitudes de amistad de conocidos, a quienes se les ha robado o falsificado la cuenta, publicando contenido con enlaces maliciosos que no son verificados antes por la víctima. Ambas son fórmulas exitosas de los atacantes en su intento de explotar el deseo de las personas de relacionarse con otros.

Fraudes con ‘clickbait’

Sin duda hay más posibilidad de que el usuario haga clic cuanto más impactante o jugoso sea el contenido que promete. Cuando llega un mensaje así de parte de un amigo o conocido, acompañado de una foto o de un vídeo, la tasa de clics se multiplica. Si se trata de un asunto comprometido, el atacante sabe cómo aprovecharse del posible sentimiento de vergüenza o culpabilidad del destinatario: dado que querrá eliminar pronto el contenido, es poco probable que se detenga a comprobar que los enlaces a los que accede son seguros y, de esta forma, acabe instalando malware en su dispositivo.

Estafas románticas

Una mujer realiza una consulta en su ordenador portátil.
Una mujer con su ordenador portátil.
PIXABAY

Entrarían dentro los fraudes mediante suplantación de identidad. El atacante se aproxima a un usuario, adoptando una identidad falsa, con la intención de que su contacto se interese y puedan establecer una relación de confianza, pasado un cierto tiempo hasta manipular a la víctima para que envíe dinero. ¿Quién no ha oído hablar del timador de Tinder? El estafador Simon Leviev, al que muchos conocen por el documental en Netflix, se hacía pasar por el hijo de un magnate para engañar a mujeres a las que colmaba de regalos, atenciones y viajes relámpago antes de pedirles grandes cantidades de dinero para defenderse de sus enemigos.

Sorteos, concursos o encuestas con sorpresa

Los atacantes saben que los usuarios siempre se interesarán por cualquier cosa que les prometa ganar dinero. Lo mismo sucede con aparentes cuestionarios o concursos de lo más inofensivo. Dejándose llevar por la emoción, los usuarios de redes sociales no reparan en los peligros de posibles estafas en las que se les pide proporcionar información muy sensible.

Ciberestafas sanitarias

Después de la pandemia por la Covid-19, y otras alertas sanitarias recientes como la viruela del mono, la gente es más propensa a hacer clic en enlaces sobre estos temas, así como facilitar datos personales, financieros o médicos a la primera de cambio ante la posibilidad de recibir información o un trato preferente sobre vacunas, tratamientos y pruebas fraudulentas.

Ofertas de trabajo falsas

Los ciberdelincuentes se hacen pasar por personal de recursos humanos intentando atraer a los usuarios con señuelos sobre supuestos trabajos bien remunerados y a distancia. Un fraude que acaba con las víctimas revelando datos o transfiriendo dinero con tal de ser los elegidos.

¿Cómo “bloquear” a los ciberdelincuentes?

Los ciberdelincuentes suplantan al SEPE para acceder a los datos personales y bancarios de sus víctimas.
Los ciberdelincuentes suplantan al SEPE para acceder a los datos personales y bancarios de sus víctimas.
towfiqu barbhuiya vía Canva.com

Dado que actualmente los usuarios utilizan sus dispositivos personales para el trabajo y viceversa, las consecuencias de un ataque exitoso en redes sociales puede impactar en múltiples escenarios. Siguiendo estos consejos, los usuarios podrían frenar a los atacantes:

-Tratar con extrema cautela las solicitudes de dinero y credenciales, aunque sean de alguien conocido. Hay que contactar con el solicitante por otro canal para verificarlo.

-Cuidado con promociones, ofertas de trabajo y mensajes emergentes con promesas demasiado buenas para ser verdad.

-No introducir nunca el nombre de usuario o contraseña en sitios web a menos que se haya navegado directamente al sitio y verificado la URL en el navegador.

-Eliminar cualquier solicitud de datos sensibles e informar a los equipos de seguridad si dicha petición se recibe en alguna cuenta corporativa.

-Contactar únicamente con el equipo de soporte y los contactos de las redes sociales navegando directamente por el sitio web o desde la aplicación.

-Si crees que tu cuenta ha sido comprometida, hay que reestablecer inmediatamente nombre de usuario o contraseña. Si tienes problemas, se debe informar a la red social.

-No abrir las páginas de redes sociales en la misma ventana del navegador que la web del banco u otros sitios sensibles. Los ciberdelincuentes pueden capturar a veces información muy importante sobre los usuarios de esta manera.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.