Piensa dos veces (o tres): hay un timador al acecho

Lo que le faltaba a los autónomos es que les hackeasen los correos electrónicos para desviar el pago de sus facturas. Pero ese es precisamente uno de los últimos timos en expansión. La estafa se conoce como BEC, Business Email Compromise (o compromiso del e-mail corporativo). Los ciberdelincuentes acceden a la cuenta de correo del autónomo o empresario, buscan  facturas y cambian en ellas el número de cuenta del destinatario de la transferencia. Cuando el cliente recibe la factura, realiza el pago sin ser consciente de que, en realidad, lo está haciendo a una cuenta falsa.

El BEC es parte de los ataques conocidos como phishing, que consisten en adquirir información confidencial de las víctimas suplantando la identidad de una fuente legítima. Afecta especialmente a la pequeña y mediana empresa y los timadores logran hacerse con el dinero de las falsas facturas porque los bancos aceptan transferencias aunque el nombre del titular y el número de cuenta no pertenezcan a la misma persona.

El Instituto Nacional de Ciberseguridad, INCIBE, explica el BEC con un caso. Es un viernes a última hora. El fin de semana está próximo y José Manuel tiene planes, se va a su segunda residencia en el sur. José Manuel es contable en un pequeño comercio familiar y está esperando un pedido de mercancía que repone mensualmente. Hace unos días que pagó la factura a su proveedor habitual, como suele hacer en cuanto le llega. Nunca ha tenido problemas.

Está, sin embargo, un poco receloso, pues la última factura no le llegó tan rápido tras el pedido como de costumbre y, además, le comunicaban que habían cambiado de banco. Para colmo, aún no ha llegado la mercancía y su jefe lleva preguntándole desde el miércoles qué está pasando.

Lo que ha pasado —le explicarán en el 017, el servicio de atención para este tipo de estafas— es un fraude BEC.

Con la ayuda del servicio, José Manuel se fija en que el mensaje que recibió procede de facturacion@proovedor.com; es decir, no se lo ha enviado Enrique, sino un ciberdelincuente que está suplantando a su proveedor. Ha cambiado una letra en el dominio y tiene dos 'o' en lugar de dos 'e': proovedor.com en lugar de proveedor.com. ¡Como para darse cuenta!

Ahora ya sabe que la factura no es la original. Un ciberdelincuente ha conseguido entrar en su cuenta de correo. José Manuel confiesa que usa la misma contraseña en su correo corporativo que en todas sus otras cuentas personales. Primera lección: las contraseñas son importantes y hay que cambiarlas.

Pero siguen siendo las estafas a través de los mensajes de SMS las que más proliferan en momentos de crisis (ya sean pandemias o pánico a la inflación), ansiedad por el regreso al trabajo o al colegio o simplemente porque se acelera la actividad de los usuarios, como ocurre cada mes de septiembre. Si no tenemos mucho tiempo, es más fácil que aceptemos mensajes que, si lo pensásemos mejor, igual descartábamos. Por eso, en esta temporada es especialmente importante tener en cuenta los consejos para evitar timos informáticos.

Los timadores en Internet son, además de estafadores, grandes expertos en marketing. Porque para conseguir que cliques —o sea, que piques— usan palabras o relatos que apelan a tus emociones. Y no hay emoción más potente que el miedo. Así que en tiempos de crisis, salen a ‘pescar’. Pero el miedo, cuando no paraliza, es también un gran estimulante. Te mantiene en alerta.Por eso, los expertos recomiendan que escuches a tu instinto. Cuando algo te da en las tripas que está mal, probablemente lo esté.

Mantén tu escepticismo incluso aunque no detectes una señal de alarma; no te descargues archivos adjuntos por muy inocuos que parezcan, si no estás totalmente seguro de la fuente. Y si el mensaje es apremiante y te pide algo con urgencia, mantén aun más tu escepticismo.

Tu banco nunca te pedirá que le envíes tus claves o datos personales por SMS. Nunca respondas a este tipo de preguntas y, si tienes una mínima duda, llama directamente a tu banco para aclararlo. Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos. No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, ya que de forma oculta te podrían dirigir a una web fraudulenta.

Sí, a veces el mensaje-trampa que recibes parece enviado por tu banco, por la administración pública o por tus amigos. Lo parece. Y hasta puede que lo sea, porque los timadores pueden incluso haber hackeado sus páginas. Así que no es fácil saber quién es ‘de verdad’ la fuente. ¿Qué hacer? Prestar atención al texto, a cómo está redactado el mensaje. Si te ’suena raro’, si no es el tono habitual de quien envía el mensaje, intenta contactar directamente a la persona que dice estar enviándolo, o sencillamente no cliques. De nuevo, la intuición humana. Sí, eso dicen expertos como Aaron Higbee, jefe de tecnología de la empresa PhishMe, una de las más importantes en detección de ese tipo de timos. «No existe una solución mágica. Si hubiese un plugin que filtrase todo el phishing, nosotros no existiríamos. La clave está en la perspicacia». Higbee insiste en que la forma de evitar los timos es una mezcla de automatización –los filtros y antivirus– y de intuición.

Hasta los expertos en informática y en phishing reconocen que caen en algunas trampas. Así que lo que más recomiendan ellos es que te prepares a la defensiva. Eso significa tomar precauciones de ciberseguridad, como mejorar la contraseña de todas tus cuentas, y tener un backup de tus datos y la información que consideres más relevante. La clave para protegerte es estar en guardia. Y, al igual que con el coronavirus, no difundas ningún mensaje sobre el que tengas la más mínima duda de que pudiera estar ‘contaminado’.

NOTICIAS RELACIONADAS

Los 'hackers' declaran la tercera guerra mundial