La variante omicron reavivó las incertidumbres y puso en alerta a varios sectores, en especial al turístico, ya que la alta propagación del virus ya ha provocado cancelaciones de eventos importantes. En este contexto las expectativas para las conmemoraciones de Semana Santa son altas, ya que con la reanudación del turismo en esta época, también regresa un viejo conocido de los viajeros: las estafas de piratería que implican tentadoras ofertas de hoteles y pasajes aéreos, ya que el objetivo es robar datos y dinero durante unos días en un lugar lejos de casa. Según una encuesta de TransUnion, una empresa estadounidense de análisis de datos, los intentos de fraude digital en el segmento de viajes y ocio aumentaron un 255 % en el segundo trimestre de 2021, en comparación con el mismo período de 2020. En este contexto, la estrategia es utilizar una introducción pregrabada y no autorizada de una conocida marca de viajes: Delta, Booking.com y Marriott que han sido opciones populares como una forma de generar confianza con los objetivos potenciales.
“Es común que los estafadores cambien su enfoque de un período a otro, tendiendo a buscar industrias que están experimentando un gran crecimiento en las transacciones. La próxima llegada de Semana Santa y la reanudación del turismo por el avance de las dosis extra de vacunación atraen la curiosidad de los estafadores al sitio de viajes», explica Dean Coclin, Director de Desarrollo de Negocios Sr. en DigiCert.
Ante el anterior panorama DigiCert brinda algunos consejos a los usuarios, para que no caigan en estafas durante el período de Semana Santa:
1. Cuidado con los correos electrónicos
Probablemente los usuarios han escuchado o recibido correos electrónicos con un logotipo muy similar al de una famosa aerolínea o cadena hotelera, con un archivo adjunto o un enlace con un descuento tentador. Cuando se descarga el archivo, se solicita al usuario una instalación que hace que la computadora se infecte con malware. Estos son solo algunos trucos que los piratas informáticos están usando para ingresar a las computadoras en todo el mundo.
Una de las prácticas más frecuentes en ingeniería social es el phishing. Este tipo de ataque ganó más popularidad durante la pandemia de coronavirus. El usuario recibe un correo electrónico que parece provenir de fuentes confiables, pero en realidad es información fraudulenta utilizada para influir o robar información personal.
«La guía principal en estos casos es: revise cuidadosamente todos los correos electrónicos con ofertas demasiado buenas para ser verdad. Evite hacer clic en enlaces de correo electrónico sospechosos, o descargar documentos desconocidos y use solo fuentes confiables para informarse sobre oportunidades de ventas y compras. Asimismo nunca revele información personal, o información financiera por correo electrónico, o responder a las solicitudes de esa información», afirma Dean Coclin.
Es primordial siempre sospechar de los mensajes antes de abrirlos, especialmente si el remitente es desconocido. En lugar de hacer clic en el enlace de un correo electrónico, se debe abrir una nueva página del navegador e ingresar la dirección/localizador uniforme de recursos (URL) del sitio que se va a visitar. Mientras el usuario está conectado, debe comparar el nombre del sitio web en la barra de direcciones en la que normalmente confía y buscar anomalías.
2. Prestar atención a las redes sociales
Es común oír hablar de la estafa del hotel en las redes sociales, y tal vez incluso los cibernautas conocen alguien que haya confiado en ella. Los delincuentes crean una página con el mismo nombre que el hotel y envían un mensaje de inbox diciendo que tienen, por ejemplo, una promoción para rifar tres noches de hospedaje y piden el nombre y número de celular, luego informan que la persona recibirá un SMS y necesitarán la confirmación de los seis dígitos que recibio el usuario en su celular. Este código es el SMS de confirmación de WhatsApp que se está instalando en el celular de los delincuentes.
Entonces, si los usuarios se encuentran con esta situación, el primer paso es identificar el nombre de la cuenta en la propia red social. Esta técnica es bastante efectiva, ya que las redes sociales no autorizan dos cuentas con el mismo “arroba.” Aún en esta área, los guiones bajos, puntos y guiones suelen ser bastante sospechosos, ya que las empresas usan nombres completos, sin muchos caracteres diferentes.
Otro punto a destacar es el número de seguidores. Por lo general, las páginas falsas tienen pocos seguidores en comparación con la cuenta oficial. Y así como la falta de seguidores puede hacer que la cuenta sea sospechosa, vigilar los me gusta y los comentarios también es importante y puede ser una señal de que ese perfil está siendo administrado por estafadores.
Buscar el nombre de la empresa en los navegadores es otra forma de saber más sobre sus redes sociales. La web oficial del hotel suele tener un enlace directo a las redes sociales, por lo que se puede comprobar si el perfil que contactó al seguidor es verdadero o falso.
Luego de identificar que la cuenta es falsa, lo primero que se debe hacer es reportar el perfil directamente a través de la red. En unos días, luego de una verificación, la cuenta será baneada de la plataforma. Si no se produce el ban, la mejor opción es avisar a la empresa de lo que está pasando. Por tanto, el hotel deberá recurrir a un parte de incidencias.
3. Usar la tecnología para la protección
Los piratas informáticos están evolucionando sus niveles de piratería, sofisticación de estafa y la están utilizando contra los usuarios. Para evitar ataques, se debe actualizar siempre el software y el navegador con las últimas versiones de Microsoft Edge, Mozilla Firefox y navegadores de otros proveedores que vienen equipados con filtros antiphishing.
Las tecnologías existentes como PKI, que proporciona cifrado y garantía de identidad criptográfica en cada flujo de datos y verifica a todos los usuarios de la red, pueden desempeñar un papel clave en la protección de los hogares, las empresas y las redes conectadas. Los ataques de correo electrónico son comunes para el phishing y la ingeniería social, y las empresas también pueden ayudar a proteger a los usuarios y otras personas que confían en sus sistemas de correo electrónico mediante el uso de certificados digitales para garantizar la identidad, la autenticación y el cifrado del cliente.
«Una plataforma PKI sólida puede ayudar a garantizar que los correos electrónicos estén firmados por partes autorizadas dentro de la organización, ya que muchos ataques se basan en la ingeniería social para falsificar un correo electrónico de una fuente supuestamente confiable para ganarse la confianza del destinatario y luego robar su identidad o credenciales.” agrega Dean Coclin.
4. Atención al navegar
También es importante tener cuidado al navegar, ya sea en sitios web, redes sociales o aplicaciones. Se recomienda no abrir ni descargar archivos de sitios web sospechosos o desconocidos, ni hacer clic en ningún enlace enviado en redes sociales o aplicaciones de mensajería. Otro consejo es mantener el dispositivo con un antivirus actualizado.
Con la llegada de una web que está encriptada en más del 90 % y con navegadores que muestran un candado sólido para todos los sitios https, independientemente del tipo de certificado, es una falacia simplemente «buscar el candado», ya que esto es insuficiente para proteger a los usuarios de sitios fraudulentos. Los usuarios deben ser diligentes en la búsqueda de pistas sobre la identidad del sitio. Con los certificados EV, debe hacer clic en el candado para ver el nombre legal de la empresa. Esto proporciona una excelente visibilidad de que el sitio ha sido autenticado.
«Los certificados OV y EV requieren un poco de esfuerzo para obtenerlos. Primero, la entidad solicitante debe ser una organización válida y la CA debe consultar los registros públicos para autenticarlos. Debido a que esto implica trabajo manual, hay un costo asociado con la obtención del certificado. Estos normalmente no son obstáculos para las organizaciones legítimas, pero para los ciberdelincuentes suponen una fricción importante, que puede evitarse obteniendo un certificado DV. Por lo tanto, DV se ha convertido en el certificado elegido por los piratas informáticos y los delincuentes”, finaliza Dean Coclin.
¿Qué pueden hacer los usuarios para reconocer sitios web fraudulentos? Tres palabras: examinar, examinar y examinar.
• Otra pista que debe buscar el usuario es el nombre de la Autoridad de certificación (CA) que emitió el certificado del sitio web. Con algunos navegadores, los usuarios pueden pasar el cursor sobre el candado para ver el nombre de la CA. Si el indicador dice «Verificado por DigiCert», puede estar seguro de que la identificación del sitio se verificó de acuerdo con los requisitos de la industria. Las CA líderes, como DigiCert, actualizan constantemente los estándares globales mediante los cuales las CA validan identidades y siguen procesos rigurosos.
• Observar de cerca la barra de direcciones y leerla cuidadosamente.
• Hacer clic en el candado para revelar información adicional sobre el sitio. Si está utilizando un certificado EV, el nombre de la empresa se identificará inmediatamente después de hacer clic en el candado.
Pero, ¿qué pasa si el sitio usa un certificado DV? ¿Significa eso que no se puede confiar? No, no necesariamente. Una vez más, tenga cuidado de examinar los elementos anteriores. Millones de sitios usan DV y está perfectamente bien para muchas aplicaciones. Pero el comercio electrónico/las transacciones financieras no son una de ellas.