Mercado Libre advirtió acerca de una estafa que circula por WhatsApp en la que prometen entregar regalos por el supuesto aniversario de la empresa. Más de una cuarta parte (28%) de los argentinos encontró casos de suplantación de identidad o “phishing”.
En estos días estuvo circulando por WhatsApp un supuesto sorteo por el aniversario de Mercado Libre pero todo se trata de un engaño, según advirtió la misma empresa, que además ya avanzó con la denuncia por este tema.
“Para reconocer cuándo se trata de un caso engañoso, te recomendamos que corrobores siempre que la dirección desde donde te llega la comunicación sea oficial y que tengas en cuenta que las empresas nunca te piden que ingreses datos fuera de sus sitios o apps”, explicó compañía desde su cuenta de Twitter.
Además, recuerda que los únicos canales oficiales que tiene la compañía en Facebook, Twitter e Instagram cuentan con el tilde azul, que es la verificación que otorgan esas redes sociales.
Qué tener en cuenta para evitar caer en estafas online
Como primera medida hay que dudar de todo tipo de promoción, regalo u ofrecimiento que llegue por mensaje de texto, WhatsApp o mail. Siempre es mejor ir a la página oficial del sitio en cuestión para verificar si la información es cierta o bien comunicarse por vía telefónica o cualquier otro canal disponible que tenga la compañía.
No se deben enviar datos personales, ni códigos que sean solicitados por vía privada ya que podría intentarse de un engaño.
Evitar descargar archivos adjuntos que se reciben por mail si se tiene duda del remitente ya que podría tratarse de un ejecutable que instale algún malware en el equipo.
Hay que evitar ingresar en los links que redirigen a páginas y que se envían junto con los mensajes o mails para obtener beneficios porque podría tratarse de un sitio falso. Dicha página podría tener el mismo logo y estética del sitio que busca emular pero se trata de un engaño por medio del cual los cibercriminales podrían robar los datos de los usuarios.
Es importante mantener siempre el sistema operativo actualizado porque de esta manera se reciben parches de seguridad que llegan con correcciones a cualquier tipo de vulnerabilidad que se haya encontrado previamente en la aplicación o servicio.
Se recomienda contar, en lo posible, con un sistema de seguridad o antivurs como protección extra.
Sólo se deben descargar aplicaciones desde las tiendas oficiales de Google (Play Store) y Apple (App Store) ya que esos contenidos pasan filtros y pruebas de seguridad.
WhatsApp, por su parte, ofrece herramientas para que sus usuarios se protejan. En este sentido, siempre que se inicia una conversación con un número desconocido, el usuario tiene la opción de reportar y/o bloquear ese contacto directamente en el chat.
Además, se recomienda habilitar la verificación en dos pasos, que actúa como una capa adicional de seguridad para las cuentas. Esta función permite el registro de un correo electrónico y un PIN de seis dígitos que se solicita periódicamente al usuario y que, además, es necesario para confirmar el número en WhatsApp.
Este PIN, así como el código de verificación enviado por SMS, no debe compartirse con otras personas, ni siquiera con amigos cercanos o familiares. Esta medida de autenticación está disponible también en Gmail, y varios servicios de redes sociales y otras apps.
Como medida de precaución general, los usuarios deben cambiar sus contraseñas, asegurarse de crear un password robusto y evitar usar el mismo en todos los sitios a los que tengan acceso.
Phishing, las estafas que más afectan a los argentinos
Más de una cuarta parte (28%) de los argentinos encontró casos de suplantación de identidad (“phishing“, en jerga informática en inglés), y uno de cada cinco fue víctima de un ataque de esta modalidad, mientras que tres de cada diez dijeron que no están seguros ante esta práctica.
Así lo informó un estudio de la empresa informática Avast. De los encuestados que cayeron en un ataque de phishing, tres cuartas partes fueron víctimas en un contexto personal y un tercio en un contexto laboral.
La modalidad de la encuesta fue en línea del 7 al 27 de julio sólo entre usuarios de Avast con el siguiente desglose de edades: Menores de 18 años: 15%; 18-24 años: 11%; 25-34 años: 10%; 35-44 años: 13%; 45-54 años: 15%; 55-64 años: 16%; 65-74 años: 13%; 75-84 años: 6%; 85+ años: 1%.
La encuesta preguntó si se encontraron o fueron víctimas de los siguientes tipos de suplantación de identidad:
- Phishing de correo electrónico: mensajes que están diseñados para que parezca que provienen de una organización legítima, lo que dificulta su reconocimiento e incluyen un enlace o archivo adjunto malicioso.
- Sitios web de phishing: parecen sitios web reales, pero están diseñados para robar información o entregar malware a los visitantes del sitio.
- Phishing telefónico: se llama a una víctima potencial y se la convence que lleve a cabo acciones en su computadora, entregue información personal o confidencial, otorgue a la persona que llama acceso a un sistema o cuenta que de otra manera estaría restringida o envíe dinero.
- Smishing: mensajes SMS o por WhatsApp que, por ejemplo, afirman que el destinatario ha ganado un premio, como un teléfono móvil. También intentan controlar la cuenta de WhatsApp, convenciendo a la víctima para que entregue un código de verificación necesario para iniciar sesión en una cuenta. Incluye un enlace malicioso que lo conduce a un software malicioso o un sitio web malicioso.
- Phishing físico: cuando alguien finge ser alguien que no es, como un policía, un empleado o un reparador, para obtener acceso a un área restringida o para engañar a las personas para que les den dinero o información.
En la Argentina, el tipo más común de estafa de phishing que las personas han encontrado y del que han sido víctimas es la modalidad por correo electrónico. “Los delincuentes de hoy pueden atacar a las personas con ataques de phishing a través de varios canales diferentes, por lo que es fundamental que las personas estén al tanto de ellos y de las estafas actuales que circulan”, dijo en una conferencia de prensa en la que participó iProfesional Luis Corrons, evangelista en seguridad de Avast
Montos involucrados en el “phishing”
Entre los argentinos que dijeron ser víctimas de phishing, el 21% dijo que le robaron datos personales; el 16%, le robaron dinero; el 14%, tuvo que cambiar su contraseña; y el 13%, tuvo que cancelar tarjetas de crédito y/o débito.
De los que sufrieron pérdidas económicas, un tercio perdió hasta $3.499; el 21%, entre $3.500-6.999; el 6%, entre $7.000-13.999, el 9%, entre $14.000-20.999; y tres de ellos más de $21.000.
“La ingeniería social se utiliza para llevar a cabo el phishing, para engañar a las personas para que realicen determinadas acciones. Los ciberdelincuentes utilizan la ingeniería social para aprovecharse del comportamiento humano, ya que es más fácil engañar a una persona que piratear un sistema. Lo hacen jugando con las emociones de la gente, usando el miedo, presionando a la víctima con un sentido de urgencia, emoción o alegando que necesitan caridad”, dijo Corrons.
La mayoría de las estafas de “phishing” no se denuncian
El 64% de los encuestados que han sido víctimas de phishing no denunciaron la estafa. Las razones para no hacerlo incluyen no saber a quién denunciarla (47%), o se considera que valga la pena (34%), la creencia de que no pasaría nada si se informa (21%) y el 8% considera que la pérdida financiera no es lo suficientemente alta como para que valga la pena denunciar la estafa.
De las víctimas de phishing que informaron la estafa, el 43% fue a la policía, el 29% a la empresa de la que informaba el estafador, el 14% a su proveedor de correo electrónico, el 14% a su proveedor de antivirus y el 9% a alguien de la empresa para la que trabaja.
Cómo evitar caer en estafas de phishing
Corrons ofreció los siguientes consejos sobre cómo los usuarios pueden evitar caer en estafas de phishing:
Cuestionar el mensaje
Independientemente del contexto, ya sea personal o profesional, es importante que los usuarios adivinen los mensajes que no los abordan. Muchos mensajes de phishing son genéricos y se propagan a las masas, o son mensajes que presentan una oferta que parece demasiado buena para ser verdad, cómo ganar un nuevo teléfono inteligente o heredar una gran suma de dinero de un familiar desconocido. Además, las personas deben tener cuidado cuando un mensaje afirma o amenaza que se requiere una acción inmediata.
Los mensajes de ransomware, por ejemplo, son conocidos por intentar convencer a las víctimas de que el mensaje es del FBI y que hicieron algo ilegal y, por lo tanto, necesitan pagar una multa con urgencia para recuperar el acceso a su sistema bloqueado.
Comprobar si hay errores
Los mensajes de phishing tienden a contener errores gramaticales, enlaces mal escritos, están mal escritos o contienen archivos adjuntos de algo a lo que normalmente solo se puede acceder desde una cuenta, como una factura mensual.
Los usuarios también deben considerar si el mensaje proviene de un servicio que no usan o que ya no usan, o si se trata de un pedido que el usuario no realizó, ya que estos también podrían ser signos de un mensaje de phishing.
Ser cauteloso
En ninguna circunstancia, ningún contacto legítimo debe solicitar credenciales de inicio de sesión, independientemente de si la solicitud llega por correo electrónico o por teléfono, de una persona que dice ser alguien de un banco o un especialista en TI que necesita acceso a un sistema o credenciales.
Evitar abrir enlaces o adjuntos
Los enlaces en los correos electrónicos pueden llevar a sitios web maliciosos diseñados para recopilar información confidencial o credenciales de inicio de sesión, y los archivos adjuntos pueden instalar malware si se descargan.
Es mejor evitar abrir enlaces y archivos adjuntos, a menos que se pueda confiar en la fuente desde la que se envían. De lo contrario, es mejor visitar los sitios web de la empresa directamente para descargar software o acceder a sitios.
En caso de duda, vuelva a verificar a través de un canal diferente
Si los usuarios no están seguros de si el mensaje, la llamada telefónica o la visita que recibieron son confiables, no deben reaccionar. En cambio, es recomendable que utilicen un canal diferente para comunicarse con la empresa de la que dice ser la persona.
Por ejemplo, los usuarios pueden ponerse en contacto con la empresa a través de los canales que suelen utilizar como forma habitual de contacto con esta compañía, como a través de los canales de redes sociales oficiales de la firma, o direcciones de correo electrónico o números de teléfono que figuran en el sitio web oficial de la organización.