Suena el teléfono.
-¿Si?
-Buenas tardes. Estamos llamando del Departamento de Soporte Técnico de Microsoft porque hemos detectado una falla de seguridad en su computadora muy peligrosa. Para corregirla necesitamos que nos permita el acceso remoto para poder eliminar el virus e instalar un programa de protección para futuras ocasiones.
Si no recibiste esa llamada personalmente, hay muchas posibilidades de que conozcas a alguien que si pasó por eso.
Y si es el caso, aunque se sepa que existen innumerables estafadores que utilizan internet para cometer sus fechorías, lo inesperado de una llamada que supuestamente es de Microsoft, genera un mínimo de preocupación ante la posibilidad de que ciertamente la computadora y la preciada información almacenada en ella pueda estar en riesgo.
«Los timadores utilizan el nombre de compañías importantes para cometer sus crímenes porque de esa forma el contacto que establecen parece más legítimo», explica en su página web Action Fraud, una organización británica dedicada a la prevención del fraude cibernético.
Se trata de un negocio muy lucrativo. Microsoft calcula que quienes se encuentran tras las llamadas falsas hechas a nombre de la empresa generan US$1.000 millones anualmente.
«Es muy difícil calcular el número de personas afectadas por esta actividad, pero si se extrapolan las estafas registradas en un país específico, que en el caso del reciente virus del correo en España afectó a miles, estamos hablando de cientos de miles y millones a nivel mundial», le dice a BBC Mundo Pablo Teijeira, director de la empresa de seguridad informática Sophos en España.
Phishing
Las llamadas no son el único mecanismo del que se valen los estafadores para tratar de obtener dinero a través de la instalación de un programa malicioso en la computadora y del robo de datos personales, lo que se conoce en inglés comophishing.
También utilizan correos electrónicos y sitios web con el objetivo de convencer a las personas de que descarguen algún programa o hagan clic en un enlace.
Para esto utilizan la «ingeniería social», que es la manipulación psicológica que con falsas premisas trata de lograr que la víctima divulgue información personal.
«Son herramientas diseñadas específicamente para generar pánico en la víctima. Su objetivo es lograr que el receptor del mensaje actúe de inmediato y haga lo que se le pide, asegurando que, si no lo hace, perderá algo, como por ejemplo, el acceso a su cuenta de banco», indica el sitio web de la Universidad de Indiana, Estados Unidos, en una sección destinada específicamente al tema.
Teijeira comenta que las bandas que se dedican a esta actividad se pueden encontrar en cualquier parte del mundo, al igual que sus víctimas.
«Sin embargo, se ha detectado que muchas de las organizaciones criminales que se dedican al phishing están en Brasil. Y entre los países que encabezan la lista de emisores de correo basura están varios asiáticos, seguidos por Estados Unidos y Rusia. El número de afectados es mayor en los países en los que existe poca educación informática», afirma el experto en seguridad informática.
«Ganadores» en la lotería
El virus del correo, referido con anterioridad por Teijeira, sigue cobrando víctimas en España. Se trata de un correo electrónico que recibe la persona avisándole que llegó un paquete a su nombre, y que si se tarda más de cierto tiempo en ir a buscarlo, se le cobrarán 3 euros. Para evitarlo, hay que hacer clic en un enlace.
Cuando la persona lo hace, se activa un programa maligno que cifra todos los archivos de Office que se encuentran en la computadora. No se pueden recuperar.
Otro ejemplo reciente es el de los mensajes recibidos por usuarios de Yahoo advirtiéndoles que, si no actualizan sus datos a través de un enlace que se incluye en el texto, no podrán acceder a su cuenta.
Se les informa también que la misma será clausurada en 48 horas y que perderán toda la información que tienen almacenada allí.
Mensajes con supuestos triunfos en la lotería también son frecuentes, hay quienes creyeron que habían ganado la «Lotería Microsoft» debido a que el correo electrónico que recibieron con la notificación parecía provenir de un ejecutivo de la empresa informática.
Más ejemplos
También circulan ofertas de programas de seguridad fraudulentos. Se venden como una muy buena opción para proteger la computadora, pero no es cierto. Generan mensajes de alerta que son incorrectos y que procuran involucrar al usuario en transacciones engañosas.
Estas ofertas se encuentran en publicidad que está en internet, en los resultados que arrojan las averiguaciones que se hacen a través de los diferentes motores de búsqueda e incluso como una ventana que aparece en la computadora y que pareciera ser parte del sistema operativo de la misma.
También en las redes sociales.
Y con respecto a este punto, Teijeira advierte: «Hay que tener mucho cuidado en las redes porque la gente suele ser mucho más crédula en esas plataformas que cuando el phishing llega a través de un correo electrónico».
Adam Clark, del sitio web especializado en tecnología Gizmodo, refirió otra modalidad de estafa en la que todo comienza con un URL legítimo perteneciente a Electronic Arts, una importante empresa de videojuegos.
Ese sitio redirige a otro que parece ser la pantalla de inicio de Apple para acceder a la cuenta personal, pero este último es falso. Allí se solicita el nombre de usuario y la contraseña, posteriormente se piden datos personales como el nombre completo, el número de tarjeta de crédito, el código de seguridad de la misma, la fecha de nacimiento e incluso el apellido de soltera de la madre de la persona.
Cómo reconocer el fraude
En su sitio web, Microsoft ofrece información para determinar si el mensaje recibido es parte de una estafa.
«Los cibercriminales no son particularmente conocidos por su gramática y corrección ortográfica. Las organizaciones profesionales tienen personal que revisa los mensajes que se envían a los usuarios para verificar que no tienen errores», se explica en el sitio web.
Los enlaces que se incluyen en estos correos electrónicos siempre son peligrosos. Una manera de verificar que es fraudulento es colocar el ratón sobre el enlace, pero SIN hacer clic sobre el mismo. De esta manera se puede descubrir cuál es la verdadera dirección, si aparecen una serie de números, es evidente que no hay conexión con la empresa que supuestamente envía el mensaje.
Los enlaces también pueden contener archivos .exe, que suelen propagar programas maliciosos en la computadora.
Las amenazas son otro aspecto característico de los fraudes en la red. Los timadores suelen afirmar que la seguridad del dispositivo está comprometida y que si no se responde al mensaje que envían, la cuenta será clausurada.
——————————————
Cómo protegerse
- Las empresas electrónicas no hacen llamadas que no se han solicitado para arreglar la computadora. Si las recibes, considérala sospechosa y no des ninguna información.
- Tampoco suelen enviar información acerca de actualizaciones de seguridad, a menos que la persona se haya suscrito a esas comunicaciones. Si no es el caso, no abras el mensaje.
- Microsoft no solicita los datos de la tarjeta de crédito para validar copias de Windows, así que si te los piden, no los proporciones.
- Si te llaman para ofrecerte algo, pregunta si hay algún costo. Si te dicen que si, tranca el teléfono.
- Nunca le des el control de tu computadora a un tercero, a menos de que estés absolutamente seguro de que la persona representa a una compañía a la que estás suscrito.
- Anota los datos de la persona que te llama y denúncialo de inmediato ante las autoridades.
Fuente: Action Fraud y Microsoft
