Una estafa digital es, como su propio nombre indica, una estafa que se hace gracias a la tecnología y el desconocimiento del usuario medio. Como empresa de desarrollo de apps, es nuestro trabajo informar de los posibles delitos que se puedan originar en Internet. Esta estafa se ejecuta de la siguiente manera. La persona recibe un SMS en su móvil indicando que se ha intentado entregar un paquete a su nombre pero que la entrega ha sido imposible por no haber nadie en casa. El mensaje llega con todo lujo de detalles indicando tu propio nombre y el de FedEx, por lo que al consumidor no le parece sospechoso que una empresa de mensajería le mande un mensaje. Pero sí le parece extraño que hayan intentando entregar un paquete porque es posible que no hayan pedido nada.
El SMS llega con un enlace en el que te indican que para conocer los detalles de la entrega y hacer un seguimiento del paquete, debes descargarte una app en tu móvil.
La estafa FedEX ya se intentó llevar a cabo hace meses utilizando a Correos como protagonista de la comunicación, pero ahora el proceso ha mejorado incluyendo tu nombre en el mensaje. Y, por si fuera poco, ya se han empezado a detectar otro tipo de mensajes con otras empresas como SEUR. De momento, las URL de los mensajes siguen llegando a la misma página con el logo de FedEx.
La estafa FedEx paso a paso
La personas recibe el SMS y puede parecerle extraño que hayan intentando entregar un paquete porque es posible que no hayan pedido nada, por lo que decide navegar por el enlace que acompaña al mensaje y aparece una web en la que descargarte una app de seguimiento. Y aquí es donde deberían empezar las alarmas por varias razones:
- Las empresas de mensajería, si no consiguen entregar un paquete, no te indican que te descargues una app para hacer seguimiento, puesto que en el mensaje que dicen dónde puedes ir a recogerlo o conocer dónde está entrando en su web insertando el localizador que aparece en el SMS.
- Te dicen que te descargues una aplicación, pero no te redirigen a ningún portal oficial de descarga como pueda ser Google Play o Apple Store.
- La URL del lugar al que te redirigen no tiene nada que ver con FedEx, algo que debería llamarte la atención mientras carga la página porque es el único punto de información que puedes ver mientras la pantalla está en negro y que aparece destacado en el SMS.
¿Sabías que…
siempre debes desconfiar de los mensajes o correos que se redirigen a un enlace a través de algo que llame altamente tu atención y centrarte en ver si la ortografía es correcta?
¿Cómo acceden a nuestros datos?
Una vez que te instalas la .apk en tu móvil (es decir, un formato no oficial), esa misma descarga sustituye a tu sistema de mensajería de tu propio aparato para poder tener acceso a la información en un segundo plano. Y el problema viene al entrar en la aplicación de tu banco. Una vez introduces las claves, la falsa aplicación reconoce tus credenciales y los ciberdelincuentes ya tienen libre acceso para operar con tus cuentas y robar todo tu dinero de la manera en la que quieran.
Aunque las aplicaciones de los bancos cada vez estén dotadas de mayor seguridad para evitar este tipo de robos, es posible hacerlos. Para hacer un Bizum por primera vez, el banco te pide que introduzcas tu firma digital por primera vez y que ingreses el código que recibes por SMS, pero existen otras maneras de ser víctima y que ellos saben perfectamente (como las compras rápidas en tus lugares de confianza como Amazon).
A este tipo de ciberataques a los usuarios se les conoce como phishing, una técnica que te vamos a explicar a continuación.
¿Qué es el phishing?
El phishing hace referencia a cuando alguien se hace pasar por otra, y en el caso de la tecnología es cuando los estafadores se hacen pasar por otra empresa para conseguir tus datos sin que tú te des cuenta, da igual si es la estafa FedEx u otra.
Utilizando una apariencia de página web oficial en la que aparecen sus logos y mismos campos, ingresas tus claves con total confianza y les das acceso libre a tu vida.
Esta técnica lleva utilizándose años y uno de los casos más sonados fue el de los correos de un falso Facebook en el que te decían que habían detectado un intento de suplantación de identidad. En ese correo te redirigían a una falsa página de Facebook que era exactamente igual a la original en la que tu ponías tu correo y tu clave al darle a “Aceptar”, mandabas tus claves a la vez que ellos te redirigían a la verdadera página de entrada a Facebook como si se tratase de un error de carga.
Este es uno de los mayores problemas a los que se enfrentan usuarios y empresas y siempre hay que fijarse en todo aquello que recibas indicando un intento de ataque o un pedido porque no se plasma el suficiente cuidado al captar tu atención con un mensaje de peligro o de premio.
Hay que desconfiar cuando el contenido del mensaje pueda no adecuarse a las normas gramaticales u ortografía correctas o si crees que algo no puede estar yendo bien. De hecho, tenemos constancia de un caso en un banco español en el que un cliente recibió un correo advirtiendo sobre un problema con sus claves y que entrase en el enlace para verificarlas. Esa persona desconfió de ese mensaje porque su interlocutor se estaba dirigiendo en él en castellano, cuando siempre recibía los mensajes del director de su sucursal en otra lengua oficial del territorio español. Por suerte, se denunció inmediatamente.
¿Qué puedes hacer para protegerte?
Lo más cómodo y efectista es desconfiar de cualquier tipo de mensaje que recibas, da igual la vía en la que lo hagas, y que no tenga nada que ver contigo. Mira bien a qué páginas te redirigen siempre para saber si son oficiales o no mirando la URL y viendo que coincide con la página oficial (lo puedes comprobar abriendo otra pestaña y buscando a la empresa porque siempre aparecerá en primera posición) e instalando antivirus en el móvil que impida a los ciberdelincuentes hacer de las suyas.