"Ha habido un problema con su envío": así usan la paquetería como cebo para estafarte

"Ha habido un problema con su envío. Pulse aquí para más información". Seguro que la frase (y otras similares) le resulta de lo más familiar. La popularización del comercio electrónico ha hecho habitual recibir notificaciones sobre las compras a través de correo electrónico y SMS, algo que ha tenido una peligrosa consecuencia: la paquetería se está convirtiendo en el sector preferido para realizar ataques de suplantación de identidad, que reciben el nombre de ‘phishing’.

En los últimos meses, y al calor de las campañas más consumistas del año, los delincuentes han puesto el foco en las compañías de este sector. Según el informe 'Brand Phishing' de la compañía de ciberseguridad Check Point Software, DHL se convirtió en la empresa más imitada en el último trimestre de 2021, desbancando así a Microsoft, la más suplantada hasta la fecha (aunque sigue protagonizando una de cada cinco estafas de este tipo).

En concreto, DHL concentró el 23% de los intentos de ‘phising’, 14 puntos más que en los tres meses anteriores. No fue la única: FedEx también entró en el ranking por primera vez con un 3%. Amazon, inevitablemente relacionada a las anteriores, es otra que está en el 'top 10' de suplantadas (4%).

TE PUEDE INTERESAR

"Me pagan por negociar con cibercriminales". El trabajo en auge que nadie reconoce hacer

Manuel Ángel Méndez

La operativa del ‘phising’ de marcas es muy similar. Los llamados ciberdelincuentes crean una página web —o una 'app', aunque esto es menos común— muy similar a la oficial, tanto en su diseño como su URL. Después, la envían a las personas que pueden ser estafadas a través de correo electrónico o SMS (en este caso, se denomina ‘smishing’), pero también ha habido estafas realizadas por teléfono.

Generalmente, se suele indicar que faltan una serie de datos personales o un pago por realizar. Si das lo primero, te roban la información y pueden suplantar tu identidad —por ejemplo, robando tu contraseña—; si es lo segundo, te han robado tus credenciales y tu dinero. Por ejemplo, este informe recoge un caso en el que un correo falso de DHL indicaba que el envío estaba ya en reparto y, si se quería seguir su rastro, había que introducir la contraseña.

“En el último trimestre es cuando se realizan más compras, por lo que los intentos de 'phishing' de paquetería son más verosímiles: es más probable que alguien esté esperando un envío y sea más susceptible de picar”, indica Eusebio Nieva, director técnico de Check Point en España, en conversación con este periódico. Este especialista advierte de que “la calidad del timo es bastante alta últimamente”, por lo que las suplantaciones cada vez se parecen más al original. “No es indetectable, pero sí muy difícil de identificar”.

"No es imposible de detectar, pero la calidad del timo ha subido bastante"

Los datos de este informe son a nivel mundial, pero en España la situación es bien parecida y no parece haber menguado con el fin de la campaña navideña. El Instituto Nacional de Ciberseguridad (Incibe) ha lanzado varias alertas relacionadas con estas empresas en los últimos meses. Y es que el nicho en el que pescar víctimas es cada vez mayor. Solo en 2020 —último dato disponible—, la paquetería aumentó un 26,6% el número de envíos, alcanzando los 682 millones de repartos en el año marcado por la pandemia.

En uno de estos ataques de 'phishing', un e-mail falso de Correos indicaba que no se había podido entregar el paquete porque la dirección era incorrecta. Para que se volviera a realizar el supuesto envío, había que realizar un pago a través de una web. Poco después, se extendió otra estafa similar mediante SMS, que afectó tanto a la empresa pública como a MRW. Los importes a pagar eran reducidos, apenas dos o tres euros, por lo que podían hacer que muchos no le dieran importancia, pero la clave no estaba en el importe, sino en el robo de los datos bancarios.

La propia DHL también ha concentrado un par de alertas del Incibe. Una de ellas —que también ha afectado a Seur— pedía la descarga de una 'app' para poder completar el envío, pero en realidad era un 'troyano bancario' para dispositivos Android, que se convirtió en una de las principales amenazas en España en 2021. Es un caso muy similar a uno de los ejemplos que recoge Check Point, donde el atacante se hacía pasar por FedEx e invitaba a descargar un archivo RAR para corregir la dirección de envío.

Nueve de cada 10 ciberataques en España son 'phishing'

Hoy en día, las estafas concentran el 90% de los ciberataques en España, un tipo de delito que se ha multiplicado por cuatro entre 2016 y 2020. Aquel año alcanzó 287.963 casos, según el ‘Estudio sobre la cibercriminalidad en España’, elaborado por el Ministerio del Interior. “Aparentemente, son pocos peligrosos”, indica Nieva, que contrapone esto al hecho de que sean una puerta de entrada para generar problemas mayores: “No podemos decir que un tipo de ataque sea peor que otro, porque no se sabe qué consecuencias pueden tener. Los ataques de caída de empresas o robo de datos masivos empiezan en 'phishing' entre el 60% y el 70% de las ocasiones”.

Por ejemplo, si se consiguen robar las credenciales corporativas de un empleado o se consigue que ‘pique’ desde el ordenador de la empresa, se puede acceder a la red privada (VPN) de la compañía. “Una vez dentro, realizan movimientos para adquirir más poder y, cuando envían un ataque de 'ransomware', es muy difícil recuperarlo y quizá haya que pasar por caja. Pero para todo eso, tienen que empezar por ‘phishing”, detalla este especialista, que avisa de que ha visto casos en los que se preparan estafas “para engañar a una persona en concreto”.

TE PUEDE INTERESAR

Pánico a los 'hackeos' en España: dinero público a dedo para blindar las AAPP

C. Otto

Otra de las tendencias que perciben en Check Point es que la sofisticación ha conseguido saltarse determinados sistemas de protección sin que salte ningún tipo de alerta. Nieva explica que “las empresas no permiten que los empleados visiten determinados sitios, por lo que hay un servidor intermedio que verifica”, así que utilizan “servidores conocidos, como Google Drive, One Drive o WordPress, para albergar 'phishing' y que no resulte sospechoso”. Cabe recordar que, cuando un dominio es fiable, suele aparecer un pequeño candado en la barra de direcciones, pero eso ya no es del todo seguro: "Así obtienen un certificado válido y es más fácil engañar. El candado es cada vez menos fiable".

Cuando el ciberataque juega con la salud pública

Los ataques de ‘phising’, eso sí, pueden afectar a prácticamente cualquier sector, como el bancario, donde las suplantaciones de identidad de entidades también están a la orden del día. Pero también se ha detectado un suculento negocio para la ciberdelincuencia: la pandemia. Según Barracuda Networks, la fiebre por los test durante las fiestas navideñas ha hecho que las estafas se hayan disparado, alcanzando picos del 521%.

Entre los principales timos, está la suplantación de compras 'online' de test, indicando que hay que introducir determinada información para que se reciba el pedido, o la propia oferta de pruebas —generalmente, muy baratas— que ni siquiera existen. También se han detectado notificaciones falsas sobre pedidos de pruebas e, incluso, la imitación de laboratorios y envío de pruebas falsas.

TE PUEDE INTERESAR

Ojo si recibes estos mensajes: no es tu banco, es un truco para quedarse con tu dinero

Teknautas

“Cuando el 'phishing' crece a ese nivel significa que para los atacantes es una actividad rentable, porque siempre se rigen por criterio de coste-beneficio”, comenta Miguel López, director general de Barracuda Iberia, que no se atreve a dar cifras del dinero que ha podido mover esto: "El volumen de éxito e ingresos de los atacantes es brutal, pero muy difícil de cuantificar".

López también subraya que hay veces que los supuestos test sí que existen, pero "en absoluto son válidos ni tienen ningún tipo de garantía sanitaria ni verosimilitud en resultados". “Mucha gente se compra test adquiridos en este entorno y, aparte del daño económico que generan a la propia persona, también perjudican a la salud del resto de la población”, lamenta.

¿Cómo protegerse?

Los especialistas consultados repiten una y otra vez cómo protegerse frente a estas amenazas: tener mucho cuidado cuando se clica en un mensaje o archivo adjunto que aparece en tu bandeja de entrada, teléfono móvil o redes sociales. Es menester comprobar si la dirección desde la que se envía es la oficial (o solo la imita), así como el dominio web. Y, claro, también pensar si tienes algo que ver con esa supuesta empresa que te reclama algo.

De hecho, hay que tener especial cuidado con canales menos habituales, como el telefónico. "Hace poco me llamaron al teléfono de casa haciéndose pasar por personal de Microsoft. Me dijeron habían detectado un virus en mi ordenador y querían conectarse en remoto para solucionarlo", cuenta Nieva, de Check Point, que también sugiere no pinchar en los enlaces de las ofertas que se reciben por correo electrónico o SMS: "Es preferible buscar la página que debería albergar eso y comprobar si es real".

López, de Barracuda Networks, también sugiere preguntarse si tiene lógica lo que se pide. "Si no estamos en una web de pago, ¿para qué vamos a meter datos bancarios?", indica este especialista, que pone un similar cristalino: "Igual que por la calle no sacamos dinero en un cajero si alguien sospechoso nos sigue; en internet hay que pensar muy bien dónde y a quién le damos información, no solo financiera, también personal o de trabajo: mucha gente da información a través de redes sociales que luego facilita que sean atacados".