¡Hola lectores!

¡Prestad mucha atención a la entrada de hoy porque os traemos un artículo sobre las ciberamenazas a las que nos podemos enfrentar estos próximos días de Black Friday y Cyber Monday! 

Y es que el gran volumen de compras y adquisiciones que se realizan a través de Internet durante los periodos de rebajas o durante épocas festivas son el ambiente propicio para que los ciberdelincuentes lancen campañas de ciberataques, en su mayoría dirigidas a obtener información bancaria de los usuarios, como números de tarjetas de crédito, fechas de caducidad, CVV, etcétera. Es por este motivo por el cual prolifera en fechas señaladas de aumento de transacciones la aparición de sitios web fraudulentos que suplantan a toda clase de empresas relacionadas con la cadena de distribución de los productos más demandados. Con la llegada el próximo 24 de noviembre del Black Friday y el posterior Cyber Monday el día 27 de este mismo mes, resulta conveniente recordar a los usuarios algunos de los intentos de estafa más comunes que tienen lugar durante estas jornadas con el objetivo de ser capaces de identificarlos a tiempo y evitar así ser víctimas de un incidente de ciberseguridad. Cabe destacar que, durante estas fechas, resulta bastante común que los ciberdelincuentes hagan uso de la ingeniería social para atraer a posibles víctimas hacia ofertas relacionadas con productos, servicios o empleos que terminan siendo falsas. En concreto, esto lo logran principalmente a través del uso de lemas o gráficos que resultan especialmente llamativos para los usuarios, como, por ejemplo, “Liquidación Black Friday”, “Cyber Monday 75% de descuento” o “90% de descuento en primeras marcas”. 

Respecto a los métodos de estafa más utilizados por parte de los ciberdelincuentes durante estas fechas, sin lugar a dudas, continúan destacando los correos electrónicos o mensajes SMS fraudulentos. A través de ellos, distribuyen a listados de usuarios, generalmente masivos, páginas de phishing o cargas útiles de malware con la finalidad de que sean ejecutados en sus dispositivos personales, obteniendo así información personal y/o bancaria relacionada con las víctimas. De manera concreta, dentro de esta tipología de estafa coexisten diversos tipos de señuelos, como la falsa notificación de entrega, los falsos sorteos o las tarjetas de regalo fraudulentas.

En primer lugar, las falsas notificaciones de entrega suelen suplantar a las empresas de paquetería más populares, como Correos, Amazon o UPS, enviando a los usuarios mensajes de correo electrónico en los que aseguran poseer un paquete que se encuentra pendiente de entrega. Para que la entrega de este supuesto paquete se haga efectiva, en dicho correo se informa a las víctimas potenciales de la necesidad de realizar un pago previo, a cuyo fin se les facilita un enlace a un sitio web externo en el que, por norma general, deben introducir su información bancaria (número de tarjeta, fecha de caducidad y CVV).

Ilustración 1. Correo electrónico sobre falsa notificación de entrega

En segundo lugar, el envío de mensajes de texto o correos electrónicos fraudulentos en los que se informa a los usuarios sobre un supuesto sorteo del que han resultado ser ganadores también es uno de los métodos de estafa más comunes en estas fechas. En dichos mensajes, los atacantes suplantan a una empresa conocida, Amazon, en el caso del siguiente ejemplo, asegurando a las víctimas haber resultado ganadores de un presunto sorteo que harán efectivo, accediendo a un enlace que les proporcionan en el cuerpo del correo o SMS. Una vez los usuarios han accedido a esta dirección URL, los ciberdelincuentes suelen redirigirlos a sitios web de phishing donde les solicitarán su información personal y/o bancaria bajo la premisa de necesitar ciertos datos para recibir su premio o les instarán a descargarse algún documento que probablemente albergue una carga útil que será implementada en sus dispositivos con el objetivo de recopilar información sensible.

Ilustración 2. Mensaje de texto sobre falso sorteo 

Por otro lado, respecto a las tipologías de estafa más utilizadas que se distribuyen a través de correo electrónico o SMS en periodos de compras masivas, destacan las tarjetas regalo fraudulentas. En esta casuística, los atacantes suplantan a empresas conocidas de diferentes ámbitos como pueden ser Carrefour, SHEIN o Samsung, entre otras y envían a los usuarios un mensaje en el que les invitan a contestar una pequeña encuesta a cambio de obtener una tarjeta regalo de la marca en cuestión. Tras contestar este breve cuestionario, los usuarios son redirigidos a una última página en la que se les insta a rellenar un formulario con sus datos personales y/o bancarios para poder hacerles entrega de la supuesta tarjeta. En este sentido, también resulta común que, en lugar de ofrecer una tarjeta regalo, los ciberdelincuentes hagan referencia a la adquisición de un producto promocional de una marca concreta, como Samsung o Apple, a un precio irrisorio.

Ilustración 3. Supuesto sorteo de tarjetas regalo de Carrefour 

Por último, debido al elevado número de pedidos online que se realizan durante estas fechas, los atacantes también han optado por otra tipología de estafa, los mensajes de pedidos falsos, que guardan una gran similitud con las notificaciones de entrega fraudulentas. En estas ocasiones, los delincuentes envían a un gran número de potenciales víctimas mensajes de texto o correos electrónicos en los que afirman que el presunto pedido no ha podido entregarse o que ha sido suspendido debido a que falta determinada información sobre la dirección de entrega o algún dato del usuario. Para que el supuesto paquete pueda ser entregado, proporcionan a los usuarios una dirección URL en la que aparecerá un formulario a completar con datos personales y/o bancarios. La principal diferencia que presentan respecto a las falsas notificaciones de entrega radica en que en los mensajes de pedidos falsos los atacantes no solicitan el abono de un importe a cambio de la entrega del supuesto paquete, sino que pueden pedir al usuario cualquier otro dato que les resulte de interés, como su dirección de correo electrónico o su número de teléfono.

Ilustración 4. Mensaje de suspensión de pedido fraudulento

Por otro lado, resulta común que en estas fechas los usuarios busquen las mejores ofertas y precios para sus compras, por lo que los atacantes suelen crear sitios webs fraudulentos en los que suplantan a una marca determinada o sitios web directamente falsos en los que ofertan artículos por una cantidad muy reducida o considerablemente inferior a su precio de venta al público (PVP), lo que resulta tremendamente atractivo para los potenciales compradores. Una vez los usuarios han seleccionado los artículos en los que están interesados, son redirigidos al portal de pago donde deberán abonar la cantidad correspondiente a cambio de su presunta compra. En este portal web, las víctimas por norma general introducen su nombre y apellidos, dirección de correo electrónico, número de teléfono, dirección física e información bancaria, que incluye el número de su tarjeta de crédito, su fecha de caducidad y su CVV. Una vez realizado el pago, puede llegarles un correo electrónico de confirmación de la presunta compra, que nunca llegará a entregarse. Así, los ciberdelincuentes se habrán hecho no solo con sus datos bancarios y, gracias a ello, posiblemente con parte de sus bienes económicos, sino también con información personal sensible que puede entrañar un riesgo para su seguridad personal y digital, dado que la exposición de determinados datos como el número de teléfono o la dirección física pueden derivar en otras actividades delictivas, como la suplantación de identidad.

Ilustración 5. Sitio web fraudulento que suplanta a The North Face

Otro de los métodos de estafa más comunes en estas fechas son los sitios webs fraudulentos, en esta ocasión distribuidos a través de plataformas de pago como Google Ads. A través de esta vía y por un precio muy reducido, los ciberdelincuentes se aseguran el acceso a un gran número de potenciales víctimas, ya que lo acompañan de técnicas de posicionamiento SEO con las que garantizan que estos anuncios cuenten con un grado de observabilidad mayúsculo. Por norma general, en dichos anuncios los usuarios visualizan presuntas grandes ofertas en artículos que podrían llegar a resultarles de interés, por lo que acceden al anuncio en cuestión y son redirigidos a un sitio web fraudulento en el que, en caso de realizar la compra, no llegarán a adquirir ningún artículo, pero sí proporcionarán a los atacantes tanto su información personal como su información bancaria.

Ilustración 6. Anuncio fraudulento de Google Ads

Del mismo modo, debido al alto volumen de trabajo que se espera durante las jornadas del Black Friday o el Cyber Monday, las empresas suelen publicar numerosas ofertas de empleo de carácter temporal, hecho del que se aprovechan los ciberdelincuentes para desarrollar otras acciones. En concreto, los atacantes se encargan de elaborar falsas ofertas de trabajo que distribuyen en diferentes portales de búsqueda de empleo, como InfoJobs o LinkedIn, a través de mensajes de correo electrónico e incluso a través de redes sociales y aplicaciones de mensajería instantánea como WhatsApp o Telegram. En dichas ofertas, suplantan a empresas conocidas como cadenas de supermercados o tiendas físicas e invitan a los usuarios a acceder a enlaces y rellenar formularios con su información personal y/o bancaria, utilizando como señuelo su inserción en un proceso de selección rápido.

Ilustración 7. Falsa oferta de empleo suplantando a Mercadona

Así mismo, cabe destacar que otra de las vías por la que los atacantes suelen tratar de obtener información personal de los usuarios es a través de llamadas telefónicas fraudulentas, un método conocido dentro del ecosistema actual de amenazas como vishing. Los tipos de engaños y premisas que los ciberdelincuentes pueden llegar a utilizar a través de este medio son múltiples y variados, desde ofertar a los usuarios algún servicio a precio reducido hasta suplantar la identidad del personal de recursos humanos de una empresa determinada para ofertar supuestos empleos, conformándose como un vector de acceso inicial más que complementa los fraudes anteriores. Al igual que en los casos precedentes, el vishing se configura como un tipo de ataque basado en ingeniería social más en el que los atacantes, a través de los diversos señuelos expuestos anteriormente, tratan de obtener información personal y financiera de los usuarios.

Por último, otro de los métodos que, aunque por el momento no ha sido ampliamente utilizado durante estas fechas, está comenzando a tener una gran repercusión en el panorama actual de amenazas es el QRishing. El QRishing aúna los términos “phishing” y “código QR” y es una técnica que consiste en distribuir páginas web de phishing, cargas útiles de malware, aplicaciones fraudulentas y, en general, contenido fraudulento, entre los usuarios a través de códigos QR previamente manipulados. Al ser una técnica relativamente novedosa, son muchos los usuarios que todavía desconocen su existencia y funcionamiento, lo que aumenta las probabilidades de que se conviertan en víctimas de este tipo de incidentes de seguridad. Cabe destacar que los códigos QR manipulados pueden distribuirse prácticamente a través de cualquier medio, ya sean correos electrónicos, mensajes SMS con direcciones URL que redirigen a las víctimas hacia contenido fraudulento, sitios web falsos e, incluso, de manera física a través de folletos publicitarios, cartas de bares y restaurantes, pegatinas ubicadas en la vía pública o en la entrada de comercios ofreciendo descuentos, etcétera. En este sentido, se considera que el escaneo de códigos QR que redirige a los usuarios a la descarga de aplicaciones fraudulentas también puede constituir un importante eslabón dentro de esta campaña, debido a que los atacantes podrían anunciar determinadas aplicaciones ofreciendo supuestos descuentos a los usuarios a cambio de instalarlas en sus dispositivos personales para, acto seguido, desplegar cargas útiles de malware o recopilar información sensible mediante el abuso de permisos. Por todas estas razones, el QRishing podría llegar constituir una opción atractiva para los ciberdelincuentes que traten de utilizar la temática del Black Friday y el Cyber Monday como señuelo en sus campañas de ciberamenazas más novedosas.

Ilustración 8. Ejemplo código QR utilizado en bares y restaurantes

Así mismo, cabe destacar que, durante los últimos años, se ha logrado identificar múltiples actores de amenazas especializados que dirigen sus campañas de ciberataques contra clientes de una determinada compañía, como ocurre por ejemplo con empresas como Amazon, Netflix o Booking. En estas ocasiones, los actores crean canales de Telegram en los que ponen a la venta contenido fraudulento creado específicamente para suplantar a una entidad concreta y que puede ser adquirido por terceros malintencionados. En estos canales de Telegram, los atacantes pueden vender contenido de diferentes empresas a la vez o bien estar enfocados solamente en una, tal y como se puede observar en los siguientes ejemplos. Este hecho explica que haya proliferado todo un ecosistema cibercriminal especializado en organizaciones, periodos y festividades concretas, puesto que los agentes de amenazas con mayor recorrido por este escenario pueden generar y desarrollar las herramientas y contenido necesarios para la ejecución del fraude y alquilarlas o venderlas a otros con menor experiencia.

Ilustración 9. Canal de Telegram que ofrece contenido fraudulento de varias compañías

Ilustración 10. Canal de Telegram que ofrece contenido fraudulento de Amazon

Por todo ello, tras haber destacado los tipos de incidentes más comunes y debido a la amplia variedad de ataques que podrían llevarse a cabo durante las jornadas del Black Friday y el Cyber Monday, se proporciona a los usuarios una serie de recomendaciones básicas al respecto con el objetivo de evitar ser víctimas de este tipo de incidentes de seguridad:

- En relación con los correos electrónicos y mensajes SMS fraudulentos, se recomienda a los usuarios no acceder a enlaces de origen desconocido ni proporcionar información personal y/o bancaria a través de ellos. Es preciso recordar que las entidades financieras nunca solicitarán datos sensibles fuera de sus canales de comunicación oficiales. Así mismo, se recomienda no descargar ningún tipo de archivo cuyo origen se desconozca en sus dispositivos personales y bloquear cualquier remitente que se identifique como sospechoso para evitar recibir nuevos mensajes o correos electrónicos.

- En cuanto a los incidentes de vishing, se recomienda encarecidamente no contestar llamadas procedentes de números de teléfono desconocidos o, en caso de responder, no proporcionar información personal o bancaria a terceros a través de este medio, debiendo ser especialmente cautos en el intercambio de información con desconocidos durante periodos señalados como los que aquí se referencian. Del mismo modo, se insta a incluir los números de teléfono desconocidos que traten de efectuar comunicaciones repetidamente en listas de spam o bloquearlos en el terminal móvil con el objetivo de que no puedan volver a realizar llamadas. 

- Respecto a los códigos QR, resulta conveniente prestar especial atención durante las jornadas destacadas a visualizar el enlace a la página web a la que redirige cada código de manera previa a la realización del acceso, dado que esta práctica permitiría al usuario evitar su introducción en sitios web no deseados. Para ello, resulta imprescindible aunar actividades de concienciación que permitan conocer los riesgos asociados a esta ciberamenaza junto con la incorporación de medidas de prevención como, por ejemplo, la desactivación en los teléfonos móviles de la funcionalidad que permite la apertura automática de los enlaces contenidos en los códigos QR y la realización de cualquier otra acción automática, como descargarse algún elemento o conectarse a una red. Así mismo, puede resultar conveniente hacer uso de aplicaciones legítimas que permitan observar la dirección a la que remite el QR antes de conducir al usuario a ella. De este modo, el usuario podrá comprobar que realmente está introduciéndose en el sitio adecuado. 

- Por otro lado, si el código QR solicita algo en particular y que pueda no corresponder con la finalidad que debería afrontar, como, por ejemplo, conducir a la descarga de una aplicación o solicitar información sensible, se debe cerrar la ventana abierta e informar de ello a quien corresponda, tanto a las autoridades o a los equipos de respuesta a incidentes pertinentes como a la organización cuyo código se ha manipulado. No obstante, aunque el QR tenga una función similar a la que afirma efectuar, también es conveniente realizar comprobaciones adicionales, por ejemplo, en el caso de un QR destinado a publicitar la descarga de una aplicación móvil, es recomendable que el usuario revise si la descarga se produce desde un sitio web oficial (Google Play o Apple Store) o desde una plataforma de terceros, así como observar el número total de descargas y su reputación.

- Además, es conveniente desconfiar o incluso rechazar tarjetas y folletos informativos que contengan códigos QR y que sean distribuidas por individuos desconocidos, generalmente en forma de regalo, para publicitar algún servicio o establecimiento. Del mismo modo, es recomendable no escanear ningún código QR ubicado en lugares que no deberían albergarlos sin ninguna razón aparente y que sean hallados por el usuario al azar, como en postes, farolas o carteles. 

- Por último, los ciberdelincuentes, con frecuencia, superponen los códigos QR falsos sobre el oficial, por lo que puede ser beneficioso comprobar manualmente que no ha sido manipulado o adherido sobre otro. 

- En caso de haber proporcionado información personal y/o financiera a través de alguno de estos medios, se recomienda contactar con las autoridades pertinentes, así como con la entidad bancaria correspondiente con la finalidad de que tome las medidas oportunas al respecto. 

Y hasta aquí la entrada de hoy. Esperamos que os haya sido útil y que os haya gustado. ¡No dudéis en compartirlo para que llegue a más personas! 

¡Hasta la próxima! 

Raquel Puebla González e Itxaso Reboleiro Torca, analistas de ciberinteligencia en Innotec Security

Raquel Puebla González

• Raquel Puebla González
• Raquel Puebla González

Itxaso Reboleiro Torca

• Itxaso Reboleiro Torca