“Verifica tu reembolso recibido”, reza el correo que imita perfectamente al de una gigantesca plataforma comercial y fue recibido los últimos días del año. No hay devolución. Ni siquiera hubo compra, pero el anzuelo está echado. Se acompaña un enlace donde, al pinchar, se abre la puerta a ceder tus datos personales y bancarios. La delincuencia electrónica ha hecho su agosto en estas Navidades. Como cada año, con la llegada de las vacaciones, la atención se relaja, se programan viajes, aumentan las compras a su mayor nivel del ejercicio y crecen las gestiones online particulares. Los apenas 40 días que van del Black Friday a los Reyes se consolidan como la época de mayor incidencia de fraudes a través de medios electrónicos.
Falsos alquileres, ofertas de viajes inexistentes y mensajes que suplantan a bancos o empresas de mensajería se multiplican para aprovechar la mayor temporada comercial del ejercicio. Josep Albors, responsable de Investigación y Concienciación de ESET España, muestra una gráfica de amenazas detectadas durante el resumen anual presentado en la última edición de los premios de comunicación que concede esta compañía global de ciberseguridad. La curva del último tramo del año roza la cumbre una vez más, seguidas de las correspondientes a Semana Santa y verano.
“Los delincuentes se adaptan a nuestras costumbres. A partir de enero, bajan las detecciones [de amenazas] conforme vamos volviendo a la rutina. Después se van incrementando, con picos por Semana Santa, el puente de mayo y las vacaciones de verano. Pasados estos picos, desciende con la vuelta al trabajo”, explica Albors.
El último informe cerrado sobre la cibercriminalidad en España, del Ministerio de Interior, confirma estos datos y pone cifras. De todo el último año analizado por completo (2024), el fraude informático acapara 412.850 de los casi 465.000 delitos detectados en el ámbito digital, el 88% del total. De ellos, más de una cuarta parte se registra entre el Black Friday y Reyes.
El avance semestral del recién acabado año mantiene el mismo patrón. “El indicador de las estafas informáticas representan el 86,4% de toda la cibercriminalidad y el 17,5% de toda la delincuencia (…) En apenas nueve años, las estafas informáticas conocidas crecieron un 488,3% sobre las registradas en 2016”, detalla el balance de criminalidad de enero a junio, en el que falta por computar la temporada alta de fraudes de noviembre y diciembre.
El experto en ciberseguridad de ESET destaca el auge de campañas de suplantación de identidad de todo tipo de comercios electrónicos “para aprovechar esta época de consumismo”. También alerta de la inminente llegada de fraudes con los sistemas de pago con móviles o relojes inteligentes. “Aunque son muy seguros, no están hechos a prueba de balas”, advierte.
El fraude consiste en la instalación inconsciente de herramientas maliciosas que capturan el tráfico NFC, (Near Field Communication o Comunicación de Campo Cercano), la tecnología inalámbrica de corto alcance que permite la comunicación entre dos dispositivos cercanos. “Las aplicaciones retransmiten los datos a otros dispositivos que los imitan o reproducen. Esto significa que el teléfono infectado podría capturar la señal de NFC de la tarjeta y replicarlos en otro dispositivo controlado por los atacantes y hacer pagos con esa tarjeta o incluso, en casos ya más avanzados, robar el pin y sacar dinero de cajeros”, explica Albors. Las aplicaciones maliciosas han sido localizadas incluso en las plataformas convencionales y habituales de cualquier móvil.
Otra de las vías son los anuncios fraudulentos no solicitados o juegos. “Muchas veces están vinculados a aplicaciones potencialmente maliciosas. Estas campañas se repiten, especialmente, cuando la gente está de vacaciones”, insiste Albors.
Andrés Llamas es director de ciberseguridad de la firma de tecnología del sector turístico HBX Group y coincide con Albors: “Las vacaciones de Navidad son un momento especialmente atractivo para los ciberdelincuentes por una combinación de factores: humano, emocional, contexto tecnológico y volumen de actividad digital”.
Para este directivo, durante estas fechas “las personas están más relajadas y distraídas”: “Se baja la guardia, se revisa el correo desde el móvil, se trabaja de forma puntual fuera de la oficina o se responden mensajes con menos atención al detalle. Esa menor vigilancia facilita que ataques como el phishing pasen desapercibidos”.
Pero añade un elemento más, usual y sobre el que se presta poca atención: el uso de redes wifi públicas (aeropuertos, hoteles, estaciones) y de dispositivos personales para acceder a herramientas corporativas, lo que incrementa la superficie de ataque si no se utilizan medidas como el uso de VPN o autenticación multifactor.
El “contexto emocional” lo relaciona con las actividades vinculadas a viajes, reservas, compras online, felicitaciones, regalos corporativos y comunicaciones urgentes antes del cierre del año. “Correos que simulan ser de aerolíneas, hoteles o incluso solicitudes internas urgentes resultan mucho más creíbles en este periodo”.
Prevención
Llamas cree que la primera medida para navegar por esta selva fraudulenta es la prevención: “En primer lugar, es fundamental proteger la conexión a internet. Siempre que se utilicen redes Wifi públicas (en aeropuertos, hoteles o cafeterías) se debe conectar a través de una VPN corporativa y evitar el acceso a sistemas sensibles si no es estrictamente necesario. También es importante desactivar la conexión automática a redes abiertas o mantener la conexión wifi de los dispositivos activa cuando no sea necesario”.
Otra medida es más difícil de generalizar entre los usuarios, aunque sea una de las recomendaciones más antiguas. Se trata de la gestión de credenciales con contraseñas únicas y robustas para cada servicio. Esto se puede conseguir con un gestor de contraseñas, como KeePass, y con la autenticación multifactor (MFA), que reduce de forma drástica el riesgo de accesos no autorizados, incluso si una contraseña se ve comprometida. Sin embargo, año tras año, se detecta que la principal vulnerabilidad se produce por la reiteración de contraseñas para todos los servicios y la debilidad de las mismas.
También recomienda Llamas “mantener una actitud crítica y vigilante frente a correos y mensajes”, destinar unos segundos a analizarlos antes de actuar: “Durante las vacaciones aumentan los intentos de phishing, especialmente aquellos que simulan reservas, incidencias de viaje o solicitudes urgentes de trabajo. Ante cualquier duda, la mejor medida de seguridad y lo más prudente es no hacer clic y verificar por un canal alternativo”.
En cuanto a las cautelas ante los viajes, el directivo de HBX Group recomienda mantener sistemas y aplicaciones actualizados, activar el cifrado, usar bloqueo biométrico o PIN seguro y realizar copias de seguridad. “Así, incluso en caso de pérdida o robo, el impacto se minimiza”, concluye.