Su guía para identificar estafas de ingeniería social y amenazas cibernéticas

¿Phishing, vishing, smishing, quishing, zishing? Los tipos de estafas cibernéticas están en aumento. Esto es lo que necesita saber.

La tecnología ha facilitado actividades cotidianas, desde la comunicación hasta las compras y la banca en línea, sean más fáciles. Los avances en seguridad también hacen que nuestras vidas digitales sean más seguras que nunca. Sin embargo, los delincuentes siempre están buscando una forma de ingresar, y hay una vulnerabilidad que es muy difícil de proteger: la emoción humana.

Solo en los Estados Unidos., los consumidores perdieron más de $12.5 mil millones por fraude en 2024, un aumento del 25% con respecto a 2023, según un informe de la Comisión Federal de Comercio publicado esta semana. Los consumidores informaron que perdieron la mayor cantidad de dinero por estafas a inversionistas (5.7 millones de dólares), mientras que las estafas de impostores siguieron siendo las más denunciadas. El correo electrónico sigue siendo la forma más común en que los estafadores llegan a sus víctimas, seguido de las llamadas telefónicas y los mensajes de texto. 

Fraude
1. Engaño, timo, estafa; 2. Una persona que no es quien pretende ser

"Los ciberdelincuentes a menudo confían en emociones humanas como el miedo, la curiosidad, la simpatía o el orgullo para engañar a sus víctimas para que caigan en una estafa", dice Donna Mattingly, directora de educación y concientización sobre seguridad corporativa de Mastercard. Las estafas de ingeniería social se pueden usar para robar dinero, instalar software malicioso (malware), acceder a redes comerciales para obtener información privilegiada o derribar redes informáticas. Puede ser difícil ver qué buscan los estafadores, ya que sus estrategias se han vuelto increíblemente complejos.

También se han vuelto más convincentes. Los estafadores cibernéticos crean sitios web falsos y crean identidades falsas elaboradas para engañar a sus víctimas. Y ahora están utilizando tecnologías de IA generativa para crear correos electrónicos engañosos, llamadas telefónicas (la IA de generación puede imitar las voces de sus seres queridos), imágenes y videos (conocidos como deepfakes o falsedades profundas) tan sofisticados que son casi imposibles de reconocer como falsos.

Incluso las personas que han sido entrenadas para ser cautelosas pueden ser engañadas, como lo demuestra un incidente reciente en Hong Kong. Allí, una empresa financiera multinacional perdió 25,6 millones de dólares cuando un empleado fue engañado para que transfiriera fondos corporativos a una cuenta criminal. Había sido engañado por una videoconferencia falsa con personas que parecían y sonaban como colegas, incluido el director financiero de la empresa, pero que en realidad eran impostores generados por computadora.

Para protegerse de los delitos cibernéticos, es útil saber qué tipo de estafas existen, para que pueda esquivarlas.

¿Qué es la ingeniería social?

La ingeniería social es el uso del engaño y la manipulación emocional para influir en el comportamiento de otra persona. En el mundo digital, los ciberdelincuentes utilizan tácticas de ingeniería social para engañar a las personas, para que revelen información confidencial o tomen medidas que puedan dañarlos financieramente a ellos o a sus empleadores.

Este tipo de estafas cibernéticas pueden incluir convencer a las personas de que entreguen dinero en efectivo o envíen dinero electrónicamente. Los estafadores también los usan para obtener información personal como números de seguro social, números de tarjetas de crédito o credenciales de inicio de sesión para luego poder robar dinero, cometer fraude o vender a otros delincuentes.

Las estafas de ingeniería social pueden estar buscando acceso a su computadora personal o a la red informática corporativa para robar datos o propiedad intelectual, instalar virus o ransomware (software dañino que bloquea archivos hasta que los usuarios pagan un rescate) o causar fallas en el sistema que detengan la actividad empresarial.

Además, pueden incluir el intento de influir en las elecciones o manipular los mercados financieros. Los ciberdelincuentes pueden enviar correos electrónicos o publicar noticias falsas, comunicados de prensa o gráficos de rendimiento de acciones que engañen a las personas para realizar inversiones.

¿Por qué hay tantas formas de estafas de ingeniería social?

Hay muchas formas de estafas de ingeniería social porque los delincuentes siempre irán a donde están las víctimas. A medida que encontramos nuevas formas de comunicarnos y conectarnos, los ciberdelincuentes idean nuevos esquemas adaptados para el medio utilizado y así aprovecharse de vulnerabilidades emocionales.

¿Qué es el phishing?

El phishing es una táctica de ingeniería social que se basa en correos electrónicos fraudulentos para atraer a los destinatarios a enviar dinero o revelar información confidencial.

¿Recuerdas los correos electrónicos del "príncipe nigeriano" de la década de 1990, donde una persona que decía ser de la realeza africana solicitó asistencia financiera urgente? Puede que ahora nos riamos de la premisa, pero esa estafa generalizada fue uno de los primeros y más básicos ejemplos de phishing. Desde esos primeros días, las estafas de phishing han aumentado en número y complejidad.

¿Cuáles son las señales de advertencia de un correo electrónico de phishing?

Las señales de advertencia de un correo electrónico de phishing son mensajes que inspiran miedo, pánico u otras reacciones fuertes. Suenan amenazantes o presionan al usuario para que realice una acción inmediata al presentar situaciones urgentes, como emergencias financieras, la detección de "actividad inusual" en su cuenta o facturas sin pagar.

El objetivo es asustar a las personas para que respondan antes de que tengan tiempo de pensar con claridad. Muchos correos electrónicos de phishing piden a los destinatarios que hagan clic en un enlace o descarguen un archivo adjunto, pero hacer cualquiera de esas opciones puede tener consecuencias no deseadas, como vincular a un sitio web riesgoso, activar un virus informático o descargar software peligroso.

¿Qué hacer si has hecho clic en un enlace de phishing?

Si has hecho clic en un enlace de phishing, desconecte su computadora o dispositivo de Internet. Esto puede interrumpir las descargas maliciosas o bloquearlas para que no comiencen. Escanee su sistema con un software de seguridad confiable y siga las instrucciones si se detecta un virus o malware.

Si ingresó un nombre de usuario y contraseña de una de sus cuentas mientras visitaba un sitio web falso, diríjase al sitio legítimo y cámbielos de inmediato. Si existe la posibilidad de que haya revelado información que podría usarse para perjudicarlo financieramente, comuníquese con su banco para obtener instrucciones sobre cómo proceder.

Si vive en un país con agencias con agencias de informes crediticios, es una buena idea ponerse en contacto con ellas. En los Estados Unidos., las tres principales agencias de informes crediticios  pueden vigilar su archivo en busca de actividades sospechosas. También le permitirán "congelar" y "descongelar" su archivo de crédito de forma gratuita. Finalmente, denuncie la estafa o el fraude cibernético a las autoridades correspondientes y cuéntele a sus amigos y familiares sobre la estafa para que no sean victimas de la ciberdelincuencia.

¿Qué es el spear phishing?

El spear phishing es una forma más personalizada y dirigida. Los estafadores investigan antes de iniciar algún contacto, para poder dirigirse a usted por su nombre o afirmar que representan a una empresa o una persona que conoce.

A menudo pueden obtener detalles de las redes sociales, así que considere usar configuraciones de privacidad en las redes sociales para limitar la exposición de sus publicaciones.

¿Qué es un ataque de “whaling?

El whaling es un ataque de phishing dirigido directamente a ejecutivos corporativos u otras personas de alto rango. En otras palabras, los peces grandes de una organización.

¿Qué es el vishing?

El vishing es una forma de phishing que emplea llamadas telefónicas o mensajes al correo de voz en lugar de correo electrónico.

¿Qué es el smishing?

El smishing es otro tipo de phishing, dirigido a víctimas potenciales a través de mensajes texto (SMS).

¿Qué es el quishing?

Quishing es un tipo de phishing en el que los estafadores convencen a las personas para que escaneen un código QR falso que los lleva a un sitio web malicioso, donde pueden ser persuadidos para que entreguen información confidencial o descarguen software dañino.

¿Qué es el zishing?

Zishing es una técnica de phishing que tiene lugar en llamadas de videoconferencia y utiliza tecnología deepfake o falsedades profundas, para engañar a las víctimas. La "Z" representa a Zoom, pero puede suceder en cualquier plataforma.

¿Qué es un ataque de phishing de angler?

El phishing de angler se dirige a los usuarios de redes sociales que han publicado quejas sobre una empresa o servicio. Los estafadores crean perfiles falsos en las redes sociales y luego se ponen en contacto con el usuario, haciéndose pasar por un representante de servicio al cliente que quiere ayudar. Pedirán información personal y la usarán para actividades delictivas.

¿Qué es la suplantación de correo electrónico?

La suplantación de correo electrónico es cuando los estafadores ocultan su identidad disfrazando su dirección de correo electrónico o nombre en pantalla, para que los correos electrónicos parezcan provenir de alguien que el destinatario reconoce. A veces, los estafadores usan cuentas de correo electrónico similares, tal vez la diferencia puede ser una sola letra, haciendo que las personas no logren detectarlo.

¿Cómo funciona el compromiso del correo electrónico empresarial?

Un compromiso de correo electrónico empresarial es cuando los ciberdelincuentes hackean un sistema de correo electrónico corporativo para crear cuentas que parecen provenir de alguien en una posición de liderazgo. Estas están diseñadas para convencer a otros empleados de que revelen información financiera privilegiada o autorizar transferencias de pago que envíen dinero a cuentas fraudulentas.

¿Qué es un ataque de software espía?

Un ataque de software espía asusta a los usuarios de computadoras para que instalen un software malicioso o abran archivos infectados con virus. Un usuario puede recibir una notificación emergente que advierte falsamente que su computadora ha sido infectada con un virus peligroso. Luego se les indica que compren software falso o envíen dinero para desbloquear la computadora.

¿Qué es una estafa romántica o trampa amorosa?

Una estafa romántica o trampa amorosa es cuando los ciberdelincuentes crean perfiles realistas en aplicaciones y sitios web de citas o plataformas de redes sociales y fingen un interés romántico en posibles víctimas. Ofreciendo la promesa de una relación, piden dinero, impulsan esquemas fraudulentos de inversión o criptomonedas o solicitan datos personales para acceder a cuentas financieras.

Los estafadores románticos a suelen evitan las medidas de seguridad de los sitios de citas proponiendo pasar a mensajes de texto o correos electrónicos poco después de que comiencen las conversaciones.

¿Qué debo hacer después de ser estafado?

Si ha sido estafado, comuníquese con su banco y cualquier otra empresa que administre sus cuentas financieras y hágales saber lo que sucedió. Cambie los nombres de usuario y las contraseñas, también puede habilitar la autenticación multifactorial para las interacciones digitales. Ayude a otras personas informando sobre el delito.

La mayoría de los países tienen una autoridad central que maneja las estafas y fraudes cibernéticos. En los Estados Unidos, comuníquese con la Comisión Federal de Comercio a través de su sitio web o llamando al 877-IDTHEFT (438-4338). Europol tiene una lista de estados miembros con sitios web de informes individuales.

--

Esta historia fue publicada originalmente el 7 de marzo de 2024 y ha sido actualizada con nuevas estadísticas de la FTC.