En las últimas semanas, varias grandes compañías han sufrido ataques informáticos a manos de ciberdelincuentes, en los que han perdido importantes cantidades de datos personales de sus clientes. La lista de empresas afectadas no para de ensanchar: Iberdrola, Telefónica, el Banco Santander, Decathlon, Real Madrid... e incluso la propia DGT. Así, los estafadores han obtenido miles de nombres, teléfonos o direcciones de ciudadanos que muy probablemente serán utilizados en su contra mediante engaños y estafas.
Por lo general, en este tipo de acciones los estafadores contactan con los clientes haciéndose pasar por las empresas, aprovechándose de los datos de los que disponen, para tratar de obtener sus datos bancarios y realizar cargos a su costa.
Según explican desde la Organización de Consumidores y Usuarios (OCU), los estafadores emplean principalmente dos tipos de técnicas: el phising (o smigshing) y el vishing.
Por un lado, "el modus operandi de estas estafas online es muy parecido: aprovechando la filtración del nombre, los datos de contacto y la vinculación del usuario con la empresa hackeada, el ciberdelincuente envía un falso email (así se inicia el phishing) o un falso SMS (el smishing) haciéndose pasar por personal de esa misma empresa. Esta comunicación urge a clicar en un link que simula ser el de la web oficial con alguna importante excusa, como la detección de un problema de seguridad o el bloqueo de la cuenta corriente. Una vez dentro de la web, se solicitará a la víctima sus datos y claves bancarias como la única forma de solucionar ese supuesto problema".
Por otro, "la técnica de vishing es muy similar, solo cambia el canal. En vez de mandar un falso email o un falso SMS, el ciberdelincuente llamará a la víctima haciéndose pasar por personal de la empresa hackeada para pedirle sus datos bancarios con excusas parecidas. Hay casos en los que los suplantadores están realmente bien preparados y utilizan un lenguaje perfectamente elaborado, con todo tipo de tecnicismos y aclaraciones, lo que aumenta sus probabilidades de éxito. A esta técnica tan elaborada se la conoce como spoofing".
En cualquier caso, la organización recomienda a los usuarios que se hayan podido ver afectados por el robo de datos tomar las siguientes precauciones:
- No abrir emails o SMS de origen desconocido.
- Si el emisor del mensaje parece conocido, pero al abrirlo le urge a pinchar en un link, desconfíe. Llame a la empresa remitente para comprobar su veracidad utilizando el número de teléfono que tenga grabado o aparezca en Internet, nunca el que se indique en el email o el SMS.
- Si lo que recibe es una llamada pidiendo sus datos bancarios, sepa que es falsa, ninguna empresa o banco pide esa información por teléfono.
- Por último, practique el egosurfing: teclee su nombre en Internet y asegúrese que no hay información suya que considere privada, porque revelaría una posible filtración de datos.