Estafa 1 - Phishing de caridad – Ten cuidado con tus donaciones: Durante la época navideña, los hackers se aprovechan de la generosidad de los ciudadanos y les envían correos electrónicos que parecen proceder de organizaciones de caridad legítimas. Realmente son sitios web falsos diseñados para robar donaciones, información de tarjetas de crédito y la identidad de quienes realizan dichas donaciones.

Estafa 2 - Facturas falsas de compañías de servicios para robar tu dinero:  Durante la Navidad, los cibercriminales suelen enviar facturas falsas y notificaciones de entrega  aparentando proceder de Federal Express o UPS. Envían correos electrónicos a los usuarios solicitando los detalles de sus tarjetas de crédito para confirmar que son correctos, o se les pide que abran una factura on-line para recibir el pedido. Una vez completada, la información de esa persona es robada o se instala malware automáticamente en su ordenador.

Estafa 3 - Redes sociales – Un cibercriminal  “quiere ser tu amigo”: Los cibercriminales aprovechan esta época tan entrañable para enviar solicitudes de amistad desde redes sociales, aparentemente auténticas. Los usuarios de Internet deben tener cuidado cuando pinchan en enlaces que van incluidos en estos correos electrónicos ya que, automáticamente, instalan malware en el ordenador para robar información personal.

Estafa 4 - El peligro de las postales electrónicas: Los cibercriminales roban dinero a los consumidores que envían postales navideñas electrónicas en un esfuerzo por respetar el medio ambiente. La pasada Navidad, el laboratorio McAfee Labs descubrió un gusano enmascarado como postal electrónica Hallmark y en una promoción de Coca Cola. Los PowerPoint de Navidad adjuntos en un correo electrónico son también populares entre los cibercriminales.  ¡Ten  cuidado si pinchas en ellas!

Estafa 5 - Lujo y joyas a alto precio: McAfee Labs ha descubierto recientemente una nueva campaña de Navidad dirigida a compradores en sitios web que ofrecen descuentos en artículos de lujo de marcas como Cartier, Gucci o Tag Heuer. Los cibercriminales utilizan con frecuencia el logotipo de las mejores firmas para engañar a los consumidores y provocar la compra de productos que nunca recibirán.

Estafa 6 - Prácticas de compras navideñas en Internet – El robo de identidad on-line ha aumentado: Según Forrester Research. las ventas on-line en Navidad aumentarán este año, igual que los cazadores de gangas en Internet. Mientras los usuarios compran y navegan, los hackers siguen el rastro de su actividad en un intento de hacerse con su información personal. McAfee pide a los usuarios que nunca se realice compras on-line desde ordenadores públicos o desde redes Wi-Fi abiertas.

Estafa 7 - Los villancicos pueden ser peligrosos – Búsquedas arriesgadas: Durante la Navidad, los hackers crean sitios web relacionados con estas fechas y destinados a quienes buscan tonos, fondos de pantalla, villancicos o salvapantallas festivos. Descargar este tipo de archivos puede infectar los ordenadores con spyware, adware u otro tipo de malware. McAfee encontró un sitio de descargas de villancicos que redirigió a los investigadores a sitios que contenían adware, spyware y otro tipo de programas no deseados.

Estafa 8 - Sin trabajo  - Timos laborales por correo electrónico:  Los cibercriminales se están aprovechando de la mala situación económica en la que nos encontramos y realizan promesas laborales de altas retribuciones y sin necesidad de moverse de casa. Una vez que la persona ha  mostrado interés, tiene que introducir su información personal a través de Internet y pagar una determinada cantidad. A partir de ese momento, los hackers se quedan con el dinero, zanjando así la prometida oportunidad laboral.

Estafa 9 - Sitios falsos de subastas: Los cibercriminales se esconden en sitios web de subastas durante la época navideña. Los compradores deben tener precaución con ofertas de subastas que parecen ser demasiado buenas para ser verdad, porque la mayoría de las veces estas compras no llegan a su destino.

Estafa 10 - Robo de contraseñas:  El robo de contraseñas es una frecuente treta durante la Navidad porque los ladrones utilizan herramientas de bajo coste para descubrir las contraseñas de usuarios y enviarles malware que graban las pulsaciones (keylogging). Una vez que los cibercriminales acceden a una o más contraseñas, consiguen el acceso al banco de los consumidores y a los detalles de sus tarjetas de crédito y “limpian” sus cuentas en apenas unos minutos. Además, suelen enviar spam desde las cuentas de los usuarios a todos sus contactos.

Estafa 11 - Timos de correos electrónicos procedentes de bancos: Los cibercriminales engañan a los consumidores en la divulgación de sus detalles bancarios enviando correos electrónicos que parecen proceder de instituciones financieras reales. En ellos piden que el usuario confirme información de sus cuentas, incluido nombre de usuario y contraseña, con la advertencia de que, si no lo hace, su cuenta quedará invalidada. Después, se vende esta información en el mercado negro.

Estafa 12 - Al rescate de tus archivos: Los hackers consiguen el control de los ordenadores de los usuarios a través de distintos timos. Actúan como secuestradores virtuales, secuestran los archivos de los ordenadores y los encriptan, convirtiéndolos en inaccesibles para el propio dueño de los mismos. A continuación, el ciberdelincuente le exige el pago de un rescate por ellos, a cambio de obtenerlos.

Enlaces relacionados:

• McAfee Security Advice Center:  12 Scams of the Holidays.
• Muy Computer.

A continuación voy a explicar los ataques más comunes de los cuales puede ser victima cualquier persona que utilice un servicio de correo electrónico y un pequeño truco que nos puede salvar de molestias o incluso de ser víctimas de un delito.

Virus

Según la wikipedia, un virus informático es:  "un malware (software malicioso) que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos".

Si por algo se caracterizan los atacantes es el saber causar intriga y cierto morbo en la gente para hacer que se dejen llevar por la emoción y convieran el computador en un infierno; por lo tanto envían correos muy sugestivos como noticias sensacionalistas con supuestos detalles o videos como ha ocurrido mucho después de la muerte del rey del pop que aprovecharon para inundar los buzones con supuestas imagenes inéditas, o hacen pasar los correos como notificaciones de postales digitales con titulos muy llamativos como "alguien que te quiere mucho te envía un detalle" o cosas por el estilo.  En estos dos casos utilizan la imagen de medios conocidos para hacer más creible el engaño, podemos ver a continuación un par de imágenes de mensajes que me han llegado a mi buzón de correo y que más adelante veremos cómo descubrirlos.

Mensaje en el que ofrecen una supuesta exclusiva sobre la muerte de Michael Jackson

Una supuesta tarjeta virtual, que en realidad traía una sorpresa desagradable

El objetivo de estos mensajes suele ser el de infectar el computador con virus, al hacer click en alguno de los enlaces en vez de abrir otra página el navegador nos pregunta si deseamos descargar un archivo o incluso hace la instalación sin la aprobación del usuario, obviamente por nada del mundo debemos permitir la descarga.

Phishing

Aunque suene un poco extraño en pocas palabras podemos decir que es un tipo de ataque diseñado exclusivamente para robar bien sean sus datos personales (créanme, se pueden utilizar de muchisimas formas) y contraseñas e incluso hasta su dinero.  El más común es en el que utilizan la imagen de bancos conocidos y hacen una página exactamente igual a la que utiliza dicho banco para solicitar que se digiten los datos por diferentes motivos que se inventan, datos que van a parar a un desconocido que ya tiene la puerta abierta para hacer traslados de fondos.  Podemos ver un ejemplo en la siguiente imagen (sacada de aquí):

Phishing utilizando la imagen de un banco

Podemos observar que hacen la simulación completa de un banco y una carreta bastante convincente, eso sí sin dejar atrás los errores ortográficos tan comunes en este tipo de mensajes (ver los anteriores).

Cómo cuidarnos de estos ataques

Ya lo han dicho los más reconocidos hackers, una de las fallas más grandes de seguridad en los equipos de cómputo somos los usuarios.  Con esto quiero decir que no debemos confiar al 100% en un antivirus así nos lo hayan ofrecido como lo máximo en protección, tampoco creamos que por tener dos antivirus y uno o varios cortafuegos (servicio de protección de la conexión a internet) activados estamos libres de caer en esas trampas, incluso aunque los servicios de correo electrónico actuales estén implementando constantemente mejoras para detectar este tipo de amenazas debemos desconfiar de lo que nos aparezca en la bandeja de entrada, a continuación enumero algunos puntos a tener en cuenta para que este fabuloso servicio como lo es el e-mail no se convierta en una pesadilla de seguridad:

1. Endender las amenazas:  Lo principal es tener muy claro que existen personas que quieren aprovecharse de nosotros, aunque no sea personalmente, debemos entender que una infección con virus o malware puede representar desde un costo a la hora de llamar un técnico para que nos deje el computador desinfectado hasta un desfalco millonario en nuestras cuentas de bancos y ojo, un banco no nos va a responder si caemos en una de estas trampas.
2. Su nombre no es utilizado en los mensajes:  Si alguien le está enviando una postal normalmente la envía con su nombre,  un banco con el que tenga servicios conocerá sus datos.  Los atacantes consiguen su dirección de e-mail de diversas formas pero nunca (o por lo general nunca) obtienen sus datos completos, por esto en este tipo de mensajes no encontrará nunca que se refieren a usted por su nombre.
3. El remitente no corresponde con el nombre de la empresa:  Esto es muy importante, verificar que la dirección e-mail del remitente sea acorde con la empresa que supuestamente envía el mensaje.  Personalmente siempre me han llegado este tipo de mensajes de remitentes que terminan en @hi5.com.  En algunos servicios muestra este dato siempre en el mensaje, en otros como el de gmail hay que hacer click en un enlace que dice "mostrar detalles".

Lo más importante de todo y por esto lo pongo aparte, es siempre desconfiar de los enlaces y a continuación les ofrezco una forma de verificarlos.

Antes que nada debemos asegurarnos de tener activada la barra de estado en el navegador, esta barra se sitúa en la parte inferior de la ventana y sirve para mostrar determinada información incluido el destino del enlace sobre el que coloquemos el puntero del ratón.

Barra de estado del navegador

Si no podemos ver esa barra en la parte inferior de la ventana del navegador simplemente la habilitamos en el menú "Ver -> Barra de estado", el truco con esta dichosa barrita es que al pasar el puntero del ratón por encima de un enlace observaremos la dirección a la que en realidad nos llevará, debido a que se puede mostrar un texto en el enlace pero éste nos puede dirigir a otro sitio completamente diferente, como ejemplo tenemos el siguiente enlace:

www.paginaswebenbucaramanga.com

Por más que el texto diga una cosa si pasamos el puntero del ratón por encima veremos (en la barra de estado) que el enlace apunta en realidad a otra página, pues esto sucede y no tan inocentemente con los correos electrónicos maliciosos, por más que la dirección nos muestre la página web de un banco o de un portal de postales electrónicas o lo que sea debemos fijarnos a dónde apunta realmente dicho enlace, en la siguiente imágen podemos apreciar que aparentemente el enlace es a un medio de comunicación conocido en Colombia pero en la barra de estado nos muestra otra dirección completamente diferente:

El enlace no corresponde con el destino en la barra de estado

En conclusión para evitarnos dolores de cabeza y cuentas de banco vacías debemos simplemente ser un poco cuidadosos, en ningún momento pretendo desalentar el uso de una herramienta tan poderosa como lo es Internet porque sería ilógico pensar que el riesgo es tan alto que no vale la pena.  Las transacciones de todo tipo por internet se han venido imponiendo por su comodidad y rapidez, además por que han demostrado ser lo suficientemente seguras si hacemos buen uso de los equipos informáticos por lo tanto siguiendo unas recomendaciones tan sencillas como las expuestas aquí podremos dormir un poco más tranquilos.

A quien le interese escudriñar un poco más sobre el tema del phishing le dejo algunos enlaces que pueden resultar de utilidad:

• Muy recomendado:  vídeo educativo sobre Phishing de la compañía Eset.
• Qué es el phishing y cómo protegerse.
• Amenazas en la era digital.