La estafa del familiar: el nuevo phishing que finge ser tu hijo o tu hija

‘’Papá, el teléfono se ha roto y necesito…’’, ‘’Mamá, te hablo desde el teléfono de una amiga… Ayúdame’’

Antecedentes…

Desde la segunda década de este siglo y, especialmente, a raíz de la pandemia provocada por la COVID-19, el número de ciberdelitos ha aumentado exponencialmente.

La delincuencia se ha adaptado a los nuevos tiempos y utiliza Internet y, en general, el medio digital para conseguir sus fines. Entre los ciberdelitos más destacados resaltan aquellos que se valen de la ingeniería social, como el phishing, farming, vishing… La ingeniería social consiste en la práctica de engañar, manipular o presionar a los usuarios para conseguir información confidencial u otros activos. Estos ataques basan su éxito en el error humano y la presión, y son los más frecuentemente utilizados por los ciberdelincuentes por motivos de rentabilidad: es mucho más fácil engañar a una persona que atacar un sistema o una red.

El ciberataque por excelencia: phishing

El phishing, concretamente, es la forma más común de ingeniería social. Con él, los atacantes normalmente se hacen pasar por una persona u organización de la confianza de la víctima (un jefe, una empresa de renombre, una institución pública, el banco de la víctima,…) y, además, crean una sensación de urgencia, provocando que la víctima actúe de forma precipitada. Seguramente muchos de los lectores puedan haber sido atacados mediante este método: un falso email de Correos o de la Agencia Tributaria (phishing clásico), o un SMS del Banco Santander (smishing). Son muchas las maneras de materializar este ciberdelito… ¡y no dejan de surgir otras nuevas!

El nuevo protagonista: smishing del familiar

Sin embargo, en los últimos dos años y, sobre todo, en los últimos meses, ha proliferado la nueva estafa a través de SMS en la que se hacen pasar por un familiar de la víctima para conseguir, principalmente, dinero.

El modus operandi de este fraude es el siguiente:

  • Paso uno: el autor de la estafa escribe un mensaje como ‘’Mamá, el teléfono se ha roto…’’, con la intención de hacerse pasar por uno de los hijos de la potencial víctima.
  • Paso dos: envía el mensaje a miles de números de teléfonos aleatoriamente.
  • Paso tres: a quienes contestan, les solicitan dinero de forma urgente. Dependiendo del objetivo, el dinero se pedirá de una sola cantidad o de forma fraccionada; también existe la posibilidad de que se requieran más datos para acceder a cuentas bancarias o a otro tipo de información confidencial.

Estas estrategias constituyen una especie de ’’pesca de arrastre’’: saben que la mayoría de personas atacadas no caerán en la trampa y no responderán, pero también cuentan con que un pequeño porcentaje responderá. Y a mayor número de destinatarios, mayor será el número de usuarios engañados.

Este tipo de ataque tiene también su variante en versión WhatsApp, y una de las más conocidas es la estafa del viajero. En esta, se aprovechan del supuesto viaje de un familiar que requiere nuestra ayuda en la aduana del aeropuerto. El modus operandi es el mismo que en el SMS familiar.

Existen muchas formas de phishing, pero todas tienen la misma finalidad: obtener información personal y la de personas allegadas, para, en último extremo, acceder a datos bancarios y robar dinero.

Consejos y consideraciones

  1. Sentido común: Antes de creer todo lo que nos llega, proporcionar nuestros datos personales o efectuar algún pago, parémonos un segundo a pensar. Puede que el SMS, correo electrónico o mensaje de WhatsApp recibido sea falso.
  2. Contacto alternativo: Es recomendable intentar establecer contacto con el familiar en cuestión por un medio diferente: llamar al móvil, hablar por WhatsApp o cualquier otra vía de mensajería, redes sociales…
  3. No precipitarse ni ceder a la presión: Este tipo de estafas se valen de una supuesta situación de urgencia para apremiar a sus víctimas a efectuar los pagos o la entrega de datos. Por ello, es importante no ceder bajo presión ni tomar decisiones precipitadas.
  4. Buscar información: Una consulta en cualquier buscador nos puede ayudar a resolver muchas dudas cuando recibimos un mensaje sospechoso. Si pensamos que un SMS, correo o WhatsApp puede ser fraudulento, es probable que en Internet haya información sobre ello: noticias, blogs, avisos…
  5. Consultar a la Policía o la Guardia Civil: Si las dudas persisten o tenemos serios indicios de que se trata de un fraude o estafa, podemos consultar a la Policía o Guardia Civil, bien a través de sus páginas web oficiales, bien personándose en alguna dependencia de esos Cuerpos.

Conclusión

La lucha por la prevención, detección y reducción de la ciberdelincuencia es una carrera continua. ¿Por qué? Porque a medida que se perfeccionan los sistemas de seguridad, los hackers descubren, inventan o idean nuevas formas de saltarse y burlar los controles…¡y así, sucesivamente, como una pescadilla que se muerde la cola!

Por ello, la formación de los usuarios, es decir, las personas que utilizamos Internet, es de vital importancia, ya que estamos en la diana de la mayoría de los ataques; al fin y al cabo, constituimos el eslabón más débil. En definitiva, la ingeniería social es el método más eficiente de ciberataque: en gran parte, los ciberdelitos tienen éxito debido a errores humanos

¡Pero que nadie tire la toalla tan rápido!

Es posible prevenir y llegar a niveles de ciberseguridad altos (cercanos al 100%), si desarrollamos un uso responsable y sensato de Internet. Al fin y al cabo, cuantas más capas de ciberseguridad pongamos, menos caeremos en hackeos, trampas y ciberdelitos en general.

Carta a los Reyes Magos

Queridos Reyes Magos,

¡Espero que estéis teniendo un viaje súper emocionante! Soy María, tengo 7 años y esta Navidad me gustaría pedir algo un poco diferente en mi lista de regalos.

Este año he tenido varias charlas en el colegio sobre la seguridad en Internet y sus posibles riesgos. Y, por eso, aparte de los regalos más ordinarios, quisiera que me trajerais herramientas digitales mágicas que nos ayuden a mí y a mi familia a tener una vida más cibersegura.

Para mí…

1. Una capa mágica de privacidad para proteger mi imagen digital

Quisiera tener una capa mágica que proteja mi privacidad online. Así, aprenderé a ser más responsable con mis fotos y a compartir mi información de manera segura en las redes sociales.

Además, en Navidad se hacen muchas fotos familiares y me gustaría que mis padres también aprendieran a seleccionar qué información subir a Internet, para proteger la imagen digital de todos nosotros.

2. Un amuleto misterioso para proteger mi cuenta de videojuegos y un filtro mágico contra el lenguaje ofensivo

Sería genial tener un amuleto mágico que proteja mi cuenta de videojuegos y, de esta forma, poder disfrutar sin preocuparme de hackeos o de que alguien entre en ella sin permiso.

También quisiera un hechizo que filtre el lenguaje ofensivo en los chats de videojuegos online. Así, podré jugar tranquilamente de forma respetuosa y amistosa.

3. Una poción para reconocer perfiles falsos que me proteja del grooming

Mis padres están muy preocupados por si alguien con malas intenciones se acerca a mí a través de Internet. Me gustaría aprender a ser cautelosa y a estar a salvo de posibles engaños y, sobre todo, de este tipo de personas.

¿Sería posible que me trajerais una poción mágica para reconocer perfiles falsos en Internet y ponerme a salvo del grooming? Así, aprendería la importancia de no compartir información personal con extraños y de mantenerme segura mientras navego por la red.

4. Un pergamino de conjuros contra el ciberacoso

Quisiera un pergamino lleno de conjuros que me enseñen a mantenerme libre del ciberacoso y, también, a ser una persona respetuosa en las redes sociales. Todos merecemos un ciberespacio seguro y amable, sin que nadie nos insulte o nos moleste.

Además, compartiría el libro con mis compañeros de clase para que todos aprendiéramos a respetar y ser respetados en Internet.

5. Antídoto mágico contra las descargas pirata

Sé que a veces nos descargamos aplicaciones pirata (sobre todo juegos), con tal de conseguir cosas gratis, y que eso puede ser peligroso. Por eso, creo que me vendría bien un antídoto mágico que me ayudara a prevenir las descargas ilegales e inseguras.

Y, para toda la familia…

6. Un libro de hechizos digitales y un mapa mágico de la red segura

Me encantaría recibir un libro repleto de hechizos digitales que nos enseñen, a mí y a mis padres, a disfrutar de Internet de forma segura y a ser unos internautas responsables y respetuosos.

Y, también, un mapa mágico que me guíe por la red de forma segura, para navegar con responsabilidad y evitar lugares peligrosos, como redes de wifi públicas o páginas fraudulentas.

7. Un escudo protector contra virus

Sería genial que mis padres y yo aprendiéramos sobre la importancia de mantener nuestros dispositivos seguros y actualizados. ¿Podríais traer un escudo mágico antivirus que proteja nuestros ordenadores, móviles y tabletas?

8. Unas gafas encantadas de detección de correos, anuncios, noticias o premios falsos

En Internet es fácil encontrar información (anuncios, noticas y premios o sorteos) que son mentira, sobre todo en Navidad. Por eso, me gustaría tener unas gafas encantadas que nos ayuden a detectar la información falsa y a diferenciarla de la verdadera.

9. Una fórmula mágica de contraseñas seguras

También me gustaría que aprendiésemos a crear contraseñas seguras y fuertes, difíciles de adivinar. Así, si entendemos la importancia de mantener nuestros secretos digitales, protegeríamos mejor nuestras cuentas.

10. Un juego educativo sobre finanzas digitales

Creo que nos vendría muy bien aprender sobre cómo manejar el dinero dentro de Internet (especialmente, videojuegos) y cómo administrarlo de forma responsable. Así, tomaríamos mejores decisiones financieras dentro del ciberespacio. Y yo podría tener más pavos en Fornite para comprarme skins.

11. Controles parentales mágicos

Mis padres se preocupan mucho por mi seguridad en el ciberespacio y quieren ayudarme a explorarlo de forma segura y educativa. Aunque me parezca un poco fastidio, sé que unos adecuados controles parentales mágicos serían buenos para mí.

12. Una varita eliminadora de errores

A veces cometemos errores en Internet sin darnos cuenta, tanto niños como adultos. Por eso, para terminar, quería una varita mágica que nos permitiera deshacerlos y aprender de ellos.

¿Creéis que sería posible? Este año me he portado bastante bien: he aprendido que no debo hablar con desconocidos por Internet, a no fiarme de premios sospechosos, a no subir cualquier tipo de información a las redes sociales, y a tener contraseñas difíciles de adivinar.

Con cariño,

María

PD: Os dejaré café con leche y galletas para que os podáis recuperar del viaje. Ahhhh…. ¡y lechuga y agua para los camellos!

12,99€ o tus datos: si quieres privacidad en tus redes sociales, te toca pagar

Pagar o ceder los datos. Es la decisión que deben tomar los usuarios de Instagram y Facebook. Meta, empresa propietaria de ambas redes sociales, ha implantado la suscripción de pago en la Unión Europea: o abonas una cuota mensual de 9,99 a 12,99 euros o regalas tus datos para que te muestren anuncios personalizados. Si quieres privacidad, te toca pagar.

privacidad redes sociales

Hoy en día es difícil imaginarse la vida sin las redes sociales y su impacto a nivel personal, profesional y social. En mayor o menor medida, desde influencers a mirones, todos estamos ahí. Las redes lo saben y lo sabe Meta, su empresa reina. Menores y adultos usan las redes para conectar, comunicarse, trabajar y enamorarse. Son un pilar de la interacción humana.

Como es lógico, sus dueños quieren sacar la máxima rentabilidad de un negocio que para nosotros es gratis, pero ya sabes: cuando algo es gratis el precio eres tú, en este caso, tus datos. Por eso Instagram y Facebook, igual que X/Twitter, se han convertido en redes sociales donde la privacidad se paga, aunque sigan existiendo opciones gratuitas con publicidad y rastreo de datos.

¿Quién quiere ser rastreado?

Pero, ¿somos conscientes de los límites de la información que cedemos a estas plataformas?, ¿entendemos qué datos les estamos dando y para qué?

Para anunciar el nuevo plan de suscripción, Instagram y Facebook sorprendieron a sus usuarios con este aviso: ‘’Las leyes de tu región están cambiando, por lo que te presentamos una nueva opción sobre el uso que hacemos de tu información para los anuncios’’. Ante esto, las únicas opciones son ceder nuestros datos o pagar la cuota mensual. No se nos permite utilizar la red de ninguna otra forma, ni tampoco desactivar nuestra cuenta.

Meta tomó esta postura tras los cambios en las políticas de protección de datos de la Unión Europea, que son más restrictivas para los servicios de información y comunicación, y más garantes para los ciudadanos en general, y para los usuarios de estas plataformas en particular.

Si abonas la cuota mensual, Meta elimina los anuncios y “asegura” que tus datos no serán compartidos con los anunciantes, aunque parece que esto no es del todo cierto: Ni el Instagram ni el Facebook de pago son servicios más privados que sus versiones sin coste económico.

Si no abonas la cuota podrás seguir usando Instagram y Facebook de forma gratuita. Continuarás como hasta ahora: tu actividad será rastreada y datos como estos se compartirán con terceros:

  • Posts: todo lo que publicas y compartes queda grabado.
  • Vídeos y fotos, tanto en las que te hayas etiquetado como en las que te hayan etiquetado.
  • Listas de amigos/contactos/seguidores
  • Conversaciones, comentarios y mensajes privados
  • Pagos realizados en las plataformas
  • Apps y sitios web que visites
  • Metadatos e historial de geolocalización
  • Historial de búsquedas
  • Hashtags que te interesan
  • Reconocimiento facial

Menores ‘camuflados’

Las nuevas condiciones tienen especial impacto en un grupo clave de usuarios: gran parte de los menores que tienen usuario en Instagram han mentido en su año de nacimiento para poder acceder a las redes sociales.

Como menores no tienen capacidad, desde el punto de vista legal, para consentir sobre la cesión y uso de sus datos personales. Aun así, utilizan muchas redes sociales, con la consecuente exposición de información personal, y lo que es más grave, sin ser conscientes de la finalidad con la que estas plataformas tratarán sus datos.

Un adulto puede tomar la decisión que exige Meta sobre la suscripción de pago, pero un menor, no. De hecho, muchos de ellos tienen las cuentas a escondidas de sus progenitores, por lo que no tendrán más remedio que acceder a la cesión de sus datos. Por supuesto, no es algo que a ellos les preocupe, ya que priorizan la popularidad, los likes y estar donde están todos sus amigos. La privacidad no importa.

Protección desactivada

Con esta medida que obliga, sí o sí, a decidir rápidamente para seguir utilizando la aplicación, muchos menores habrán consentido al momento, casi sin leer, y desde luego sin ser conscientes de lo que implica el uso gratuito. Solo quieren seguir ahí, conectados. El caso de los adultos no habrá sido muy diferente, pero al menos tienen capacidad de decisión y consentimiento.

Esto nos lleva a reflexionar sobre una o varias generaciones de usuarios que vienen cediendo sus datos desde una edad temprana sin comprender el alcance de ello. El “vacío” que permite a menores unirse a una red social falseando su edad deja sin efecto cualquier ley pensada para proteger a usuarios de estas plataformas. Es una cuestión a la que debería darse más importancia, y tal vez instaurar medidas más eficaces de verificación de identidad de los usuarios.

Educando en privacidad

Para garantizar la protección real de usuarios vulnerables, a veces (como en este caso) hay que ir por delante de la normativa legal. Eso significa educar, acompañar y proporcionar una buena base de cultura de ciberseguridad y privacidad. Decíamos al principio que hoy en día no podemos vivir sin redes sociales. Tampoco deberíamos vivir sin ser alfabetizados en su uso desde pequeños, ni sin conocer la importancia de proteger nuestra información personal, ni sin saber para qué la utilizan las empresas. Es más necesario que nunca concienciar, tanto a adultos como a menores, sobre los graves riesgos del mal uso de las redes sociales y las malas decisiones en nuestras vidas digitales. Puedes empezar por estos consejos.

Una profesional de la concienciación en ciberseguridad bajo la atenta mirada de los estudiantes de la Comunidad Valenciana

ciberseguridad

Mirada retrospectiva

Cuando cursé mis estudios de Criminología, nunca pensé que me dedicaría a hacer sesiones de ciberseguridad para multitudes de niños o preadolescentes. Honestamente, me imaginaba en varios posibles escenarios, pero… ¿con niños? ¡Ni se me hubiera ocurrido!

Es más, los niños me parecían un territorio desconocido que, reconozco, me asustaba un poco. Ellos, al contrario que un adulto, no disimulan su aburrimiento, o su falta de interés, o sus ganas de buscarte las cosquillas. Son criaturas realmente sorprendentes con las que yo apenas había tenido contacto (si cabe, desde que yo misma era uno de ellos).

Con este panorama, no sabía cómo me desenvolvería e interactuaría con ellos, cuáles serían sus reacciones y cómo podría gestionarlas.

Las sesiones

La sala está preparada. Mi compañero y yo esperamos pacientemente a que lleguen ellos: nuestros espectadores, nuestros participantes, los alumnos.

Una vez sentados, hago contacto visual con ellos: unos están distraídos, otros intrigados y otros aburridos. Algunos me miran preguntándose si estoy allí para llamarles la atención o para prohibirles utilizar el móvil o las redes sociales.

Inspiro y expiro. Siempre siento una pequeña burbuja de nervios antes de comenzar.

Cuando doy paso al inicio de la sesión y formulo la pregunta ¿Qué es la ciberseguridad?  se levantan algunas manos (unas tímidas, otras insistentes) y la burbujita se rompe. Estos primeros alumnos serán los que participen habitualmente a lo largo de toda la sesión. El resto se mantiene en la retaguardia.

La charla sigue su curso natural. Los alumnos van animándose cada vez más y participan, ríen, se sorprenden, contestan preguntas, comentan anécdotas y aplauden. Mantener su ritmo es todo un reto.

Llega un punto en el que, si no se controla la sesión y el hilo argumental, me arriesgo a perder el objetivo y hacerlo desaparecer entre los temas favoritos de los menores: videojuegos, redes sociales y hackers. Porque ellos, como es natural, quieren llevarte a su terreno.

Pero ese manejo de la situación se gestiona exitosamente si mantengo mi posición y, también, si me apoyo en mi compañero que desempeña el rol de hacker; como aliado en la sesión, juega un papel indispensable en el desarrollo y consecución del objetivo de la misma.

La charla va llegando a su fin. Cuando consigo, como última meta, que todos los alumnos digan al unísono el número de la ciberseguridad, el 017, sé que he cumplido mi misión.

Sonrío y ellos sonríen. Hay alboroto. Me despido de ellos con alegría por haberles enseñado algo, pero también por haber aprendido de ellos. Porque también tienen mucho que contar: son la parte más viva y dinámica de la sociedad.

¿Resumen de la sesión? Todo un éxito.

Impresiones

Todas las sesiones tienen el mismo objetivo, pero ninguna es igual que la anterior. Nunca sabes qué tipo de alumnos te vas a encontrar, pero, sin embargo, las dinámicas con ellos son parecidas. El nivel de conocimientos en ciberseguridad depende, en gran medida, de la propia personalidad del menor, de su familia, del centro de estudios y, en general, de su entorno social.

Todos están familiarizados con el uso de las redes sociales, videojuegos e internet. Son hábiles en este terreno porque, para ellos, es como caminar: lo saben desde pequeños. E, incluso, más de uno es consciente de los riesgos y consecuencias de determinadas conductas… pero las realizan igualmente (sobre todo dependiendo de la edad), aunque sepan que no es del todo correcto. Pero, ¿acaso no es un comportamiento que también tenemos los adultos?

Las sesiones para adultos y para menores tratan, con diferente enfoque, de los mismos temas. Y veo que, algunos de los errores o, mejor dicho, imprudencias que cometen los menores vienen, en parte, de sus padres, madres, docentes o, en general, de cualquier adulto de referencia. Ellos, de forma consciente o inconsciente, nos copian y añaden sus propias particularidades.

Cuantas más sesiones realizo, más me convenzo de la necesidad de que adultos y menores estén conectados para tener una sociedad más cibersegura. Los padres, madres y docentes deben conocer el mundo de los menores para poder actuar como figuras de referencia y apoyo en caso de problemas.

Conclusiones

Estas primeras semanas de sesiones de concienciación en centros educativos de la Comunidad Valenciana han supuesto abandonar mi zona de confort. Pero no un viaje pequeñito, a la ciudad de al lado… ¡no! Más bien como si hubiera viajado interplanetariamente y hubiera aterrizado en Marte.

Nunca pensé que sería capaz de manejar a una multitud de niños sobreexcitados, emocionados y con la energía de dieciocho aceleradores de partículas. De hecho, pensaba que los niños no me iban a gustar.

Pero estaba equivocada. El trabajo con ellos me entretiene, me divierte y me permite desarrollar habilidades desconocidas en mí. Además, es útil para ambos, porque les ayudo a estar más ciberseguros y, por otro lado, a mí me instruye como profesional y como persona.

Porque ellos aprenden de mí, pero yo también aprendo de ellos.

Ciberseguridad para niños: cómo proteger a los hijos en Internet

‘’Mi hijo se pasa el día con el móvil y el ordenador y no sé qué hace’’, ‘’mi hija va sola con la tecnología’’ o ‘’no tengo ni idea de cómo enseñar a mis hijos a protegerse en las redes’’ son algunas de las frases que podemos escuchar hoy en día de quienes tienen hijos o hijas de corta edad.

Y es que, en un mundo progresivamente más digitalizado e interconectado, la preocupación es tan constante como entendible.

¿Qué preocupa a los padres sobre la ciberseguridad de los niños?

Si bien son muchas las razones por las que un padre o una madre puede desconfiar de las redes, según un estudio realizado por la compañía Avast (con una muestra de mil de ellos), sus principales miedos residen en que sus hijos e hijas se relacionen con desconocidos de dudosas intenciones, o bien que estén expuestos a contenidos inapropiados o situaciones de ciberacoso, o que sean víctimas de la adicción a Internet y a las redes sociales.

¿Qué hacen los niños en Internet?

Según los datos del mismo estudio, más de la mitad de los niños españoles navegan por Internet de forma independiente a partir de los diez años, y las razones son principalmente académicas o lúdicas. Además, pasan entre una y tres horas diarias conectados al ordenador.

Estos datos concuerdan con la realidad sociocultural actual; estamos en un momento histórico digitalizado, en el que los más pequeños han nacido, prácticamente, con una tablet en una mano y un móvil en la otra.

El hecho de manejarse con total independencia a partir de una edad temprana no hace más que reflejar que Internet, la IoT (o Internet de las Cosas) y, en general, toda la tecnología de red (en constante avance y desarrollo), están asentándose y convirtiéndose en un eslabón indispensable en nuestra cultura.

Sin embargo, el hecho de haber interiorizado Internet desde una temprana edad, no implica que los niños cuenten con todas las herramientas para hacer un buen uso de dicho entorno, ni que puedan sortear todos sus peligros con total tranquilidad.

De hecho, los niños siguen siendo igual de inmaduros, confiados y curiosos como en tiempos pasados, con independencia del hecho tecnológico. Por tanto, estos factores de vulnerabilidad les exponen en mayor medida que a otros grupos sociales, y, por ello, se necesita duplicar los esfuerzos de concienciación y formación.

¿Qué podemos hacer para proteger a los niños en Internet?

Aunque el medio online albergue peligros, Internet, bien utilizado, es una herramienta potentísima e increíble de información y comunicación, que puede ser de mucha utilidad para grandes y pequeños.

Así pues, para que el paso de los niños por la red sea lo más constructivo posible y con el objetivo de preservar su integridad y seguridad, es de vital importancia la comunicación entre padres e hijos acerca de las aplicaciones y plataformas que más usan; cómo mantenerlas privadas y alejadas de personas desconocidas; en definitiva, un acuerdo común basado en la confianza que les permita sentirse seguros y, llegado el caso, pedir ayuda si sufrieran algún ataque.

Es recomendable, también, que los progenitores conozcan el mundo cibernético en el que se mueven sus hijos, prestándoles la necesaria protección, y, al mismo tiempo, que sean capaces de detectar las amenazas a las que pueden estar expuestos.

Además, es imprescindible que los niños no solo tengan acceso a Internet desde pequeños, sino también a información relativa a los riesgos y las amenazas, a consejos para prevenirlas y, sobre todo, a soluciones. Esta formación la pueden recibir tanto en el seno de su familia, como en el colegio, como de parte de otras instituciones y organismos públicos.

Al fin y al cabo, no podemos (ni queremos) evitar que los niños utilicen Internet, porque sería negar una realidad sociocultural ineludible; de modo que será preferible que les concienciemos y formemos adecuadamente para tener una vida en la red cada vez más segura… ¡y hemos de hacerlo entre todos!