Durante 2021, los ciberestafadores involucrados en la creación y distribución de correo no deseado y phishing intentaron atraer a los usuarios utilizando temas que se centraban en inversiones lucrativas, streaming de estrenos mundiales de películas o series de televisión y asuntos relacionados con la pandemia, como restricciones, requisitos y beneficios. Estos son los principales resultados del Informe anual de spam y phishing publicado por Kaspersky.
Aunque no demasiado complejos en lo que se refiere a tecnología, los ataques de spam y phishing a menudo se basan en técnicas sofisticadas de ingeniería social. Es por eso que tales ataques se consideran muy peligrosos para un usuario no preparado. El spam es un tipo de actividad maliciosa que implica distribuciones de correo electrónico masivas o dirigidas. El objetivo de los estafadores que se encuentran detrás de estas estratagemas es promover algunos productos y servicios entre los usuarios de Internet y atraer a sus objetivos para que participen en un diálogo, hagan clic en un enlace malicioso o abran un archivo adjunto malicioso. El phishing toma a menudo la forma de un correo electrónico no deseado que se acompaña con una copia maliciosa de un sitio web legítimo. Estas copias recopilan datos privados de los usuarios o inducen a transferir dinero a los estafadores. Como muestran los resultados del Informe anual de spam y phishing de 2021, publicado por Kaspersky, el año pasado los ciberdelincuentes utilizaron muchos temas populares para estafar a los usuarios.
Las inversiones en criptomonedas o acciones fueron uno de esos temas: en estas estafas, a los usuarios se les ofrecieron oportunidades potencialmente excelentes y «100% seguras» para invertir su dinero, lo que, por supuesto, no era cierto. En realidad, estas ofertas tenían un solo propósito: hacer que las víctimas transfirieran su dinero a los estafadores.
Las estafas basadas en estrenos mundiales de películas, también detectadas por los expertos de Kaspersky, eran algo similar, pero, en este caso, los delincuentes ofrecían el acceso anticipado a la transmisión en streaming de un éxito de taquilla recientemente estrenado. Por lo general, a los usuarios se les muestra un avance o un vídeo de presentación, tras lo cual se les solicita que ingresen sus detalles de pago para continuar viendo. Por supuesto, si la víctima paga no tendrá acceso al contenido deseado, sino que perderá su dinero. La artimaña siguió siendo bastante popular en 2021; según las observaciones de los expertos de Kaspersky, casi todos los estrenos de grandes películas o series de televisión del año, junto con las grandes transmisiones deportivas, estuvieron acompañados por la aparición de estafas temáticas como esta.
El otro gran tema explotado por los estafadores de phishing en 2021 fue la pandemia. Aquí, los delincuentes crearon estafas en torno a dos grandes temas: la compensación de los gobiernos y las organizaciones de salud, así como el acceso a certificados de vacunación.
En el primer caso, se “informaba” a las víctimas que se les había otorgado una compensación del programa de apoyo relacionado con la pandemia de su gobierno, pero para obtener la compensación, la víctima tendría que pagar una pequeña tarifa de transacción. Por supuesto, estas ofertas no eran ciertas y los delincuentes las utilizaban para obtener dinero y datos bancarios.
El otro tipo de estafa de phishing y spam relacionada con la pandemia se relaciona con la venta de certificados de vacunación. Se ofrecía a las víctimas un certificado de vacunación, lo que les permitiría acceder a los espacios públicos y viajar sin tener que pasar por el procedimiento de vacunación. Si bien algunos foros clandestinos ofrecían realmente estos servicios, nada impedía que los delincuentes hicieran promesas falsas a cambio de dinero. Como obtener un certificado de vacunación sin haberse vacunado es ilegal, es muy poco probable que la víctima de tal estafa lo denuncie a la policía. Y esto es lo que esperan los delincuentes que emplean estas estafas.
Con frecuencia durante 2021, los expertos de Kaspersky han visto cómo los estafadores han utilizado estafas relacionadas con la pandemia en un intento de obtener acceso a una red de corporaciones. En estos casos, en el contenido de un correo electrónico no deseado o de phishing se informaría a los empleados de la organización objetivo que están sujetos a una compensación pandémica específica. Sin embargo, para recibirlo, la víctima debe confirmar su cuenta corporativa en una página web específica. Si tiene éxito, este proceso permite que los delincuentes logren acceso a la infraestructura y las credenciales corporativas.
“Asuntos ampliamente populares como el dinero, los estrenos de películas y los acontecimientos mundiales como la pandemia, siempre han sido ‘el pan de cada día’ para los estafadores. Seguimos viéndolo regresar año tras año y no parece que los delincuentes se vayan a detener pronto. Esto se debe principalmente a que estas estafas demuestran ser muy eficientes, ya que las personas continúan confiando demasiado en lo que ven en sus buzones y navegadores. Creemos que es importante tener en cuenta que hay muchas ofertas que parecen ‘demasiado buenas para ser verdad’. Hacemos un llamado a las personas para que sean cautelosas cuando se trata de confiar en lo que hay en su correo electrónico, ya que este enfoque puede ayudarles a conservar privados sus datos y su dinero”, dijo Tatyana Shcherbakova, experta en seguridad de Kaspersky.
Para evitar ser víctima de spam o estafas basadas en phishing, los expertos de Kaspersky recomiendan lo siguiente:
- Solo abra correos electrónicos y haga clic en enlaces si está seguro de que puede confiar en el remitente.
- Cuando un remitente es legítimo pero el contenido del mensaje parece extraño, vale la pena consultar con el remitente a través de un canal de comunicación alternativo.
- Verifique la ortografía de la URL de un sitio web si sospecha que se enfrenta a una página de phishing. Si es así, la URL puede contener errores que son difíciles de detectar a primera vista, como un “1” en lugar de una “I” o un “0” en lugar de una “O”.
- Utilice una solución de seguridad comprobada cuando navegue por la web. Gracias al acceso a fuentes internacionales de inteligencia de amenazas, son capaces de detectar y bloquear campañas de spam y de phishing.