Tendencias & Actualidad - 27 de enero de 2022

Fraudes de ingeniería social en tarjetas de crédito: qué son y cómo protegerse

Los fraudes de ingeniería social se han multiplicado en los últimos años y algunos de ellos afectan al dinero de plástico y, en particular, al pago con tarjeta mediante el teléfono móvil. Es importante identificarlos, sin alarmismos, y aprender a protegerse.
Según la Oficina de Seguridad del Internauta (OSI), la ingeniería social consiste1  en “engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para acceder a sus equipos con el fin de instalar software malicioso o malware de forma inadvertida”.Cuando el fraude afecta a las tarjetas de crédito o débito, lo que se pretende obtener es cualquier información que sirva para operar con ellas o para acceder a un equipo, un dispositivo móvil, una cuenta de correo o un monedero electrónico donde esté almacenada esa información confidencial. Merece la pena recordar que los ciberdelincuentes también pueden operar con las tarjetas desde la banca digital y, en consecuencia, las credenciales de la banca online de sus usuarios se encuentran, igualmente, entre sus principales objetivos.
El instrumento más común de fraude por la ingeniería social es el correo electrónico y una práctica que se conoce como phishing. Aquí el usuario recibe un email donde se le invita a clicar en un hipervínculo y, cuando lo hace, o se descarga en el acto un software malicioso que secuestra e infecta su dispositivo y su equipo o le lleva a una web clonada (es decir, muy similar pero falsa) de un organismo oficial, una tienda de comercio electrónico, un banco con el que suele operar, etc. Cuando ‘aterrice’ en la página, le pedirán los datos de su tarjeta para completar la operación, porque en el email se le habrá dicho, muy probablemente, que el organismo o la tienda o el banco los necesitan para realizarle, por ejemplo, un abono, corregir un cargo que se le hizo por error, actualizar sus datos o protegerle de un ataque cibernético que supuestamente acaba de sufrir.
Según el último informe2 del Anti-Phishing Working Group, los ataques de phishing se duplicaron entre principios de 2020 y el verano pasado y, según la empresa de antivirus Panda Security, los mensajes de phishing basados en la ingeniería social podrían duplicarse este año.
Por supuesto, los ciberdelincuentes no solo se ponen en contacto mediante phishing, sino que también utilizan los SMS y aplicaciones de mensajería instantánea. Estas prácticas se conocen como SMShing y las comunicaciones suelen ser muy similares a las de los correos electrónicos que mencionábamos antes.
A veces, el fraude por ingeniería social se concreta mediante una llamada de teléfono y se conoce como vishing. Y aquí el contenido y el tono de la comunicación sí que pueden ser diferentes. Generalmente, los estafadores suplantan la identidad o bien de una empresa o de una persona (puede ser un familiar, un jefe desconocido, etc.)  para que su víctima o bien les realice una transferencia o les dé los datos que necesitan para operar con sus cuentas, sus tarjetas o las cuentas y tarjetas de las empresas en las que trabajan. Otra posibilidad es que se hagan pasar por el equipo técnico de una empresa informática y utilicen esta excusa para solicitarles a los usuarios información de sus equipos o dispositivos, guiándoles a lo largo de un proceso en el que los dejen, finalmente, en sus manos.


Cuatro claves para prevenir los fraudes de ingeniería social con tarjetas


Éstas son las precauciones que deben tomar los usuarios para que los ciberdelincuentes no se salgan con la suya:
1) No compartir información confidencial sobre las tarjetas o la banca online ni en internet ni con personas o empresas que no sean claramente fiables.
2) No clicar en ningún hipervínculo que aparezca en un correo, SMS o comunicación de aplicación de mensajería instantánea cuyo remitente no esté totalmente contrastado y menos todavía cuando se solicite cualquier información sobre las tarjetas. Una vez que se pincha en los hipervínculos, no se debe introducir ningún dato de las tarjetas en las Web a las que conduzcan.
3) Actualizar el antivirus, no descargar archivos sospechosos o con remitentes desconocidos e interrumpir cualquier llamada telefónica que proceda de un número poco habitual y donde se soliciten datos confidenciales sobre las tarjetas o la banca online.
4) No autorizar ningún pago ni operación financiera con una entidad desconocida que se ponga en contacto. Y aunque sea conocida, lo ideal es contrastar antes que efectivamente son quienes dicen ser llamando al teléfono que aparece en su Web oficial. Como se ve, lo mejor es prevenir y tomar algunas sencillas precauciones. No hay motivos para alarmarse pero sí que es importante ser conscientes de que, conforme aumentan las operaciones por internet y los pagos móviles con las tarjetas, también lo hacen los ataques de ingeniería social con los que los ciberdelincuentes intentan operar con ellas sin el consentimiento de sus titulares. Las entidades financieras nunca les solicitarán a sus clientes ni actualizaciones ni transferencias sin la intervención de un asesor financiero, que siempre estará disponible para resolver sus dudas. Y por eso, tanto la entidad financiera como sus asesores les ayudarán a cuidarse y protegerse mientras siguen disfrutando de todas las ventajas del mundo digital.

Fuentes:

1. https://www.incibe.es/sites/default/files/contenidos/boletines/doc/05.12.19_boletin_seguridad_incibe.pdf

2. https://docs.apwg.org/reports/apwg_trends_report_q3_2021.pdf

La información suministrada en este documento está basada en criterios objetivos e información fiable, pero no constituye oferta, ni solicitud para comprar o vender el producto financiero analizado, quedando la opinión expresada en la fecha de emisión del análisis, sujeta a cambios experimentados por los mercados. Deutsche Bank no se responsabiliza de la toma de decisiones que se fundamenten en esta información".Deutsche Bank Sociedad Anónima Española. All rights reserved. Deutsche Bank, S.A.E.-RM Madrid,T.28100, L. 0,F.1, S.8, hoja M506294, inscripción 2, -CIF . A-08000614

×