El aumento en los intentos de robo de datos a grandes empresas e instituciones con millones de clientes, como Ticketmaster, Iberdrola y la Dirección General de Tráfico, ha marcado un hito en la era digital. Sin embargo, el verdadero tesoro para los ciberdelincuentes es la información de miles de usuarios, víctimas del 84% de las estafas en línea.
Es probable que ahora los usuarios reciban cientos de correos electrónicos falsos, ofertas increíbles y llamadas sospechosas. Los expertos en seguridad aconsejan no responder con la palabra «sí», ya que los ciberdelincuentes pueden grabarla y utilizarla para usurpar la voz del usuario en la compra de bienes por teléfono o la contratación de productos financieros. Las autoridades y el Instituto Nacional de Ciberseguridad (Incibe) llevan advirtiendo de estas estafas durante un año.
El Incibe advierte en su blog que las llamadas telefónicas siguen siendo una forma común de comunicación y, a pesar de quién las realice, es habitual responder con un simple «sí». Pocos somos conscientes de los riesgos ocultos que pueden surgir al dar una respuesta tan aparentemente inofensiva.
La estafa del «sí» funciona de la siguiente manera: los ciberdelincuentes llaman a la potencial víctima afirmando ser de su banco o de un servicio de venta o de atención al cliente e incluso de la compañía de su ordenador o teléfono. Intentan generar confianza en la víctima aportando información de la que dispone la entidad. Si la víctima responde «sí» solo al descolgar, los ciberdelincuentes ya tienen lo que querían y cuelgan. Si se responde con «hola», «dígame» o con cualquier otra expresión, intentarán continuar la conversación.
En otro escenario, el estafador establecerá un diálogo que busca una respuesta afirmativa e inequívoca. Necesitan un «sí». Puede ser: «¿Quiere este producto a un precio increíble por ser cliente?» o «¿está usted casado?» o «¿piensa ir de vacaciones este verano?». El ciberdelincuente necesita grabar la respuesta de forma inequívoca, así que lo intentará varias veces si no lo consigue a la primera y espaciará el tiempo entre pregunta y respuesta para obtener la grabación.
Una vez obtenida la voz de la víctima, el estafador intentará utilizarla para darse de alta en algún servicio bancario telefónico en nombre de la víctima o comprar algún producto en su nombre a través del móvil.
Una de las primeras medidas es cambiar el hábito de respuestas y no contestar con un «sí». Pero si se ha hecho y se sospecha de un intento de estafa, es aconsejable colgar sin aportar más datos personales. No favorezca la comunicación ni siga sus indicaciones sobre información personal o para pinchar en algún mensaje o correo que le envíen durante la llamada o después de esta.
Si en su teléfono figura el nombre de una entidad de confianza como llamante, póngase en contacto con la misma para verificar que es esta la que está detrás de la llamada. Cambie las contraseñas de acceso a sus cuentas comerciales o financieras por otras únicas para cada servicio y complejas (números, letras mayúsculas y minúsculas y símbolos gráficos).
Las tácticas de los ciberdelincuentes no se limitan a usurpar la identidad de compañías privadas. También pueden hacerse pasar por agentes que reclaman el pago de una infracción, por el servicio postal por un falso paquete recibido e incluso por la Agencia Tributaria para informar de una devolución inexistente.
El Informe Phishing 2024 de la compañía de seguridad Zscaler revela un “aumento interanual de casi el 60% en ataques de phishing a nivel global promovidos, en parte, por la proliferación de la inteligencia artificial generativa” para suplantar correos, sms, la voz o incluso imágenes mediante vídeos falsos hiperrealistas.
El phishing sigue siendo una amenaza persistente y, a menudo, subestimada dentro del panorama de la ciberseguridad, pese a que se vuelve cada vez más sofisticada a medida que los actores de amenazas aprovechan los avances de vanguardia en IA generativa y manipulan plataformas de confianza para intensificar los ataques.
Según el informe anual de Mandiant Consulting en Google Cloud sobre Europa, Oriente Medio y Asia (EMEA), los exploits (programas que aprovechan un error o una vulnerabilidad de una aplicación o sistema para provocar un comportamiento involuntario o imprevisto) y el phishing siguen siendo amenazas clave, con una incidencia de entre el 16% y el 36%.
La empresa Check Point advierte que una de las tácticas comunes para el engaño es suplantar a una autoridad. Este tipo de ataques costaron a las víctimas 124 millones de dólares en 2020, solo en Estados Unidos. Marc Rivero, jefe de investigación de seguridad de Kaspersky advierte: “El phishing sigue siendo una amenaza constante en el panorama digital que evoluciona constantemente para engañar a usuarios desprevenidos. Nuestra mejor defensa es la vigilancia y el escepticismo. Es fundamental ser cautos, verificar antes de acceder a los enlaces y proteger nuestra identidad digital para garantizar la seguridad de todos”.