Tu guía para identificar estafas de ingeniería social y amenazas cibernéticas

La tecnología ha facilitado las actividades cotidianas, desde comunicarse hasta comprar y realizar operaciones bancarias en línea. Los avances en seguridad hacen que nuestras vidas digitales sean más seguras que nunca. Sin embargo, los criminales siempre están buscando una forma de ingresar y hay una vulnerabilidad que es muy difícil de proteger: la emoción humana.

Solo en Estados Unidos, los consumidores perdieron $10 mil millones por fraude en 2023 —un nuevo récord, según nuevas cifras publicadas por la Comisión Federal de Comercio, y un aumento de $1 mil millones respecto a 2023. También se presentaron más informes de fraude —2.6 millones en total— el año pasado. Las estafas de impostores, donde los criminales se hacen pasar por representantes del gobierno o de un negocio legítimo, encabezaron la lista de categorías de fraude, y por primera vez, el correo electrónico fue el canal de comunicación más común que los estafadores utilizaron para llegar a sus víctimas.

"Los ciberdelincuentes a menudo dependen de las emociones humanas como el miedo, la curiosidad, la simpatía o el orgullo para engañar a sus víctimas y hacerlas caer en una estafa", dice Donna Mattingly, directora de Educación y Concientización en Seguridad Corporativa para Mastercard. Las estafas de ingeniería social se pueden usar para robar dinero, instalar software malicioso (malware), acceder a redes empresariales para obtener información privilegiada o derribar redes informáticas enteras. Puede ser difícil ver lo que los estafadores buscan, ya que sus esquemas se han vuelto increíblemente complejos.

También se han vuelto más convincentes. Los estafadores cibernéticos crean sitios web falsos y crean identidades falsas elaboradas para engañar a sus víctimas. Incluso ahora están utilizando tecnologías de Inteligencia Artificial Generativa para crear correos electrónicos engañosos, llamadas telefónicas (la IA generada puede imitar las voces de tus seres queridos), imágenes y videos (conocidos como falsedades profundas) tan sofisticados que son casi imposibles de reconocer como falsos.

Incluso las personas que han sido entrenadas para ser cautelosas pueden ser engañadas, como lo demuestra un incidente reciente en Hong Kong. Allí, una empresa financiera multinacional perdió $25.6 millones cuando un colaborador fue engañado para transferir fondos corporativos a una cuenta criminal. Había sido estafado a través de una videoconferencia falsa con personas que se veían y sonaban como colegas, incluido el director financiero de la empresa, pero que en realidad eran impostores generados por computadora.

Para protegerte de los ciberdelitos, es útil saber qué tipos de estafas existen, para que puedas evitarlas.

¿Qué es la ingeniería social?

La ingeniería social es el uso de engaño y manipulación emocional para influir en el comportamiento de otra persona. En el mundo digital, los ciberdelincuentes utilizan tácticas de ingeniería social para engañar a los usuarios para que revelen información confidencial o tomen acciones que puedan perjudicarlos a ellos o a sus empleadores financieramente.

Estos tipos de estafas cibernéticas pueden incluir convencer a las personas para que entreguen dinero en efectivo o envíen dinero electrónicamente. Los estafadores también las usan para obtener información personal como números de seguro social, números de tarjeta de crédito o credenciales de inicio de sesión para que puedan robar dinero más tarde, cometer fraude o vender a terceros.

Las estafas de ingeniería social pueden estar buscando acceso a tu computadora personal o a la red informática corporativa para robar datos o propiedad intelectual, instalar virus o ransomware (software dañino que bloquea archivos hasta que los usuarios paguen un rescate) o causar fallos en el sistema que detengan la actividad empresarial.

Además, pueden incluir el intento de influir en elecciones o manipular mercados financieros. Los ciberdelincuentes pueden enviar correos electrónicos o publicar noticias falsas, comunicados de prensa o gráficos de rendimiento de acciones que engañen a las personas para realizar inversiones.

¿Por qué hay tantas formas de estafas de ingeniería social?

Hay muchas formas de estafas de ingeniería social porque los criminales siempre irán donde están las víctimas. A medida que encontramos nuevas formas de comunicarnos y conectarnos, los cibercriminales idean nuevos esquemas adaptados para el canal y aprovechar nuestras vulnerabilidades emocionales.

¿Qué es el phishing?

El phishing es una táctica de ingeniería social que se basa en correos electrónicos fraudulentos para atraer a los destinatarios a enviar dinero o revelar información confidencial.

¿Recuerda los correos electrónicos del "Príncipe Nigeriano" de la década de 1990, donde una persona que afirmaba ser de la realeza africana solicitaba asistencia financiera urgente? Es posible que nos riamos de la premisa ahora, pero esa estafa generalizada fue uno de los primeros y más básicos ejemplos de phishing. Desde este momento, los correos electrónicos de phishing han aumentado en número y complejidad.

¿Cuáles son las señales de advertencia de un correo electrónico de phishing?

Las señales de advertencia de un correo electrónico de phishing son mensajes que inspiran miedo, pánico u otras reacciones fuertes. Suena amenazantes o presionan para una acción inmediata presentando situaciones urgentes, como emergencias financieras, la detección de "actividad inusual" en tu cuenta o facturas que no se han pagado.

El objetivo es asustar a las personas para que respondan antes de que tengan tiempo de pensar con claridad. Muchos correos electrónicos de phishing piden a los destinatarios que hagan clic en un enlace o descarguen un archivo adjunto, pero hacer cualquiera de las dos cosas puede tener consecuencias no deseadas, como enlazar a un sitio web riesgoso, activar un virus informático o descargar software peligroso.

¿Qué hacer si has hecho clic en un enlace de phishing?

Si has hecho clic en un enlace de phishing, desconecta tu computadora o dispositivo de Internet. Esto puede interrumpir las descargas maliciosas o bloquearlas para que no comiencen. Escanea tu sistema utilizando un software de seguridad confiable y sigue las instrucciones si se detecta un virus o malware.

Si has ingresado un nombre de usuario y contraseña en una de tus cuentas mientras visitabas un sitio web falso, ve al sitio legítimo y cámbialos inmediatamente. Si hay alguna posibilidad de que hayas revelado información que pueda ser utilizada para perjudicarte financieramente, comunícate con tu banco para obtener instrucciones sobre cómo proceder.

Si vives en un país con agencias de informes crediticios, es una buena idea comunicarte con ellos. En Estados Unidos, las tres principales agencias de informes crediticios pueden vigilar tu archivo en busca de actividad sospechosa. También te permitirán "congelar" y "descongelar" tu archivo de crédito de forma gratuita. Finalmente, informa sobre el ciberfraude o estafa a las autoridades correspondientes y comunica a amigos y colegas sobre la estafa para que no caigan en la misma trampa que tú.

¿Qué es el spear phishing?

El spear phishing es una forma más personalizada y dirigida de phishing. Los estafadores investigan antes de iniciar contacto, para poder dirigirse a ti por tu nombre o afirmar que representan a una empresa o a una persona que conoces.

A menudo pueden obtener muchos detalles de las redes sociales, así que considera usar configuraciones de privacidad en los sitios de redes sociales para limitar la exposición de tus publicaciones.

¿Qué es un ataque de "whaling"?

Whaling es un ataque de phishing que está dirigido directamente a ejecutivos corporativos u otras personas de alto rango. En otras palabras, a los peces grandes de una organización.

¿Qué es el vishing?

El vishing es una forma de phishing que utiliza llamadas telefónicas o mensajes de correo de voz en lugar de correos electrónicos.

¿Qué es el smishing?

El smishing es otro tipo de phishing que apunta a posibles víctimas a través de mensajes de texto (SMS).

¿Qué es el quishing?

El quishing es un tipo de phishing donde los estafadores convencen a las personas de escanear un código QR falso que las lleva a un sitio web malicioso, donde pueden ser persuadidas para que entreguen información confidencial o descarguen un software dañino.

¿Qué es el zishing?

El zishing es una técnica de phishing que se lleva a cabo en llamadas de videoconferencia y utiliza tecnología de falsedades profundas para engañar a las víctimas. La "Z" representa a Zoom, pero puede ocurrir en cualquier plataforma.

¿Qué es un ataque de phishing de angler?

El phishing de angler se dirige a usuarios de redes sociales que han publicado quejas sobre un negocio o servicio. Los estafadores crean perfiles falsos en las redes sociales y luego contactan al autor original, haciéndose pasar por un representante de servicio al cliente que desea ayudar. Solicitarán información personal y la usarán para actividades delictivas.

¿Qué es la suplantación de correo electrónico?

La suplantación de correo electrónico es cuando los estafadores ocultan su identidad disfrazando su dirección de correo electrónico o nombre de pantalla, para que parezcan provenir de alguien que el destinatario reconoce. A veces, los estafadores usan cuentas tan similares —quizás difiriendo solo por una letra— que las personas no detectan las diferencias.

¿Cómo funciona el compromiso de correo electrónico empresarial?

Un compromiso de correo electrónico empresarial es cuando los ciberdelincuentes hackean un sistema de correo electrónico corporativo para crear cuentas que parecen provenir de alguien en una posición de liderazgo. Estas están diseñadas para convencer a otros empleados de revelar información financiera privilegiada o autorizar transferencias de pago que envían dinero a cuentas fraudulentas.

¿Qué es un ataque de software espía?

Un ataque de software espía asusta a los usuarios de computadoras para que instalen software malicioso o abran archivos infectados con virus. Una persona puede recibir una notificación emergente que falsamente advierte que su computadora ha sido infectada con un virus peligroso. Luego se les guía para comprar software falso o enviar dinero para desbloquear la computadora.

¿Qué es una estafa de romance o trampa amorosa?

Una estafa de romance o trampa amorosa es cuando los criminales crean perfiles realistas en aplicaciones y sitios web de citas o en plataformas de redes sociales y simulan interés romántico en posibles víctimas. Ofreciendo la promesa de una relación, piden dinero, promueven esquemas de inversión o criptomonedas fraudulentos o solicitan detalles personales para acceder a cuentas financieras.

Los estafadores románticos suelen burlar las medidas de seguridad de los sitios de citas proponiendo pasar a mensajes de texto o correo electrónico poco después de iniciar las conversaciones.

¿Qué debo hacer después de ser estafado?

Si has sido estafado, comunícate con tu banco y cualquier otra empresa que administre tus cuentas financieras y diles lo que sucedió. Cambia nombres de usuario y contraseñas y habilita la autenticación multifactorial para interacciones digitales. Ayuda a otras personas informando sobre el crimen.

La mayoría de los países tienen una autoridad central que maneja los ciberdelitos y fraudes. En Estados Unidos, comunícate con la Comisión Federal de Comercio a través de su sitio web o llamando al 877-IDTHEFT (438-4338). Europol dispone de una lista de Estados miembros con sitios web de información individual.