Saltar al contenido principal

Ciberseguridad

12 de marzo de 2025

 

Su guía para identificar estafas de ingeniería social y amenazas cibernéticas

¿Phishing, vishing, smishing, quishing, zishing? Los tipos de estafas cibernéticas están aumentando. Esto es lo que necesitas saber.

Dianna Delling

Colaborador

La tecnología hizo que las actividades cotidianas, desde la comunicación hasta las compras y la banca en línea, sean infinitamente más fáciles. Los avances en seguridad también hacen que nuestras vidas digitales sean más seguras que nunca. Sin embargo, los delincuentes siempre están buscando una forma de entrar, y hay una vulnerabilidad que es muy difícil de salvaguardar: la emoción humana.

Solo en los EE. UU., los consumidores perdieron más de $12.5 mil millones por fraude en 2024, un aumento del 25% con respecto a 2023, según un reporte de la Comisión Federal de Comercio publicado esta semana. Los consumidores informaron perder la mayor cantidad de dinero por estafas de inversionistas, $5.7 millones, mientras que las estafas de impostores siguieron siendo las más reportadas. El email siguió siendo la forma más común en que los estafadores llegan a sus víctimas, seguido de las llamadas telefónicas y los mensajes de texto. 

fraude

/frôd/ • sustantivo

  1. engaño, engaño
  2. una persona que no es quien dice ser

 

"Los ciberdelincuentes a menudo confían en emociones humanas como el miedo, la curiosidad, la simpatía o el orgullo para engañar a sus víctimas para que caigan en una estafa", dice Donna Mattingly, directora de educación y concientización sobre seguridad corporativa de Mastercard. Las estafas de ingeniería social se pueden usar para robar dinero, instalar software malicioso (malware), acceder a redes comerciales para obtener información privilegiada o derribar redes informáticas enteras. Puede ser difícil ver qué buscan los estafadores, ya que sus esquemas se volvieron increíblemente complejos.

También se volvieron más convincentes. Los estafadores cibernéticos crean sitios web falsos y crean identidades falsas elaboradas para engañar a sus víctimas. Y ahora están empleando tecnologías de IA generativa para crear emails engañosos, llamadas telefónicas (la IA de generación puede imitar las voces de sus seres queridos), imágenes y videos (conocidos como deepfakes) que son tan sofisticados que son casi imposibles de reconocer como falsos.

Incluso las personas que fueron capacitadas para ser cautelosas pueden ser engañadas, como lo demuestra un incidente reciente en Hong Kong. Allí, una compañía financiera multinacional perdió 25,6 millones de dólares cuando un empleado fue engañado para transferir fondos corporativos a una cuenta criminal. Fue engañado por una videoconferencia fraudulenta con personas que parecían y sonaban como colegas, incluido el director financiero de la compañía, pero que en realidad eran impostores generados por computadora.

Para proteger de los delitos cibernéticos, es útil saber qué tipos de estafas existen para poder evitarlas.

¿Qué es la ingeniería social?

La ingeniería social consiste en el uso del engaño y la manipulación emocional para influir en el comportamiento de otra persona. En el mundo digital, los ciberdelincuentes emplean tácticas de ingeniería social para engañar a las personas y conseguir que revelen información confidencial o realicen acciones que puedan perjudicarlas a ellas o a sus empleadores económicamente.

Este tipo de estafas cibernéticas pueden incluir convencer a las personas de que entreguen dinero en efectivo o envíen dinero electrónicamente. Los estafadores también los usan para obtener información personal como números de seguro social, números de tarjetas de crédito o credenciales de inicio de sesión para luego poder robar dinero, cometer fraude o vender a otros delincuentes.

Las estafas de ingeniería social pueden intentar acceder a su computadora personal o a la red informática de su compañía para robar datos o propiedad intelectual, instalar virus o ransomware (software dañino que bloquea los archivos hasta que los usuarios pagan un rescate) o provocar fallos en el sistema que paralicen la actividad empresarial.

Sus objetivos pueden incluso incluir influir en las elecciones o manipular los mercados financieros. Los ciberdelincuentes pueden enviar por email o publicar noticias falsas, comunicados de prensa o gráficos sobre el rendimiento de las acciones que engañen a la gente para que realicen inversiones.

¿Por qué existen tantas formas de estafas de ingeniería social?

Hay muchas formas de estafas de ingeniería social porque los delincuentes siempre irán a donde están las víctimas. A medida que encontramos nuevas formas de comunicarnos y conectarnos, los malos actores idean nuevos esquemas apropiados para el canal para aprovechar de nuestras vulnerabilidades emocionales.

¿Qué es el phishing?

El phishing es una táctica de ingeniería social que se basa en emails fraudulentos para atraer a los destinatarios a enviar dinero o revelar información confidencial.

¿Recuerdas los emails del "príncipe nigeriano" de la década de 1990, donde una persona que decía ser de la realeza africana aplicar asistencia financiera urgente? Puede que ahora nos riamos de la premisa, pero esa estafa generalizada fue uno de los primeros y más básicos ejemplos de phishing. Desde esos primeros días, las estafas de phishing crecieron en número y complejidad.

¿Cuáles son las señales de advertencia de un email de phishing?

Las señales de alerta de un email de phishing son mensajes que inspiran miedo, pánico u otras reacciones fuertes. Suenan amenazantes o presionan para que se tomen medidas inmediatas presentando situaciones urgentes, como emergencias financieras, la detección de “actividad inusual” en su cuenta o facturas impagas.

El objetivo es asustar a la gente para que responda antes de que tenga tiempo de pensar con claridad. Muchos emails de phishing piden a los destinatarios que hagan clic en un enlace o descarguen un archivo adjunto, pero hacer cualquiera de las dos cosas puede tener consecuencias no deseadas, como acceder a un sitio web malicioso, activar un virus informático o descargar software peligroso.

¿Qué hacer si hiciste clic en un enlace de phishing?

Si hiciste clic en un enlace de phishing, desconecta tu computadora o dispositivo de Internet. Esto puede interrumpir las descargas maliciosas o impedir que se inicien. Analice su sistema empleando un software de seguridad confiable y siga las instrucciones si se detecta un virus o malware.

Si ingresó un nombre de usuario y una contraseña en una de sus cuentas mientras visitaba un sitio web falso, dirigir al sitio legítimo y cámbielos de inmediato. Si existe la posibilidad de que reveló información que podría usar para perjudicarlo financieramente, comunicar con su banco para obtener instrucciones sobre cómo proceder.

Si vives en un país con agencias de crédito, es buena idea contactarlas. En Estados Unidos, las tres principales agencias de crédito pueden monitorear su expediente en busca de actividades sospechosas. También te permitirán “congelar” y “descongelar” tu historial crediticio gratis. Finalmente, denuncia la estafa o el fraude cibernético a las autoridades competentes e informa a tus colegas y colegas sobre la estafa para que no caigan en la trampa de repetir tu error.

¿Qué es el spear phishing?

El spear phishing es una forma de phishing dirigida y más personalizada. Los estafadores investigan antes de iniciar el contacto, para poder dirigir a usted por su nombre o afirmar que representan a una compañía o una persona que conoce.

A menudo pueden obtener muchos detalles de las redes sociales, así que considere usar acuerdos de privacidad en los sitios de redes sociales para limitar la exposición de sus publicaciones.

¿Qué es un ataque de ballenas?

La caza de ballenas es un ataque de phishing dirigido directamente a ejecutivos corporativos u otras personas de alto rango. En otras palabras, los peces gordos ("ballenas") en una organización.

¿Qué es el vishing?

El vishing es una forma de phishing que emplea llamadas telefónicas o mensajes de correo de voz en lugar de email.

¿Qué es el smishing?

El smishing es otro tipo de phishing, dirigido a víctimas potenciales a través de mensajes SMS (texto).

¿Qué es el quishing?

Quishing es un tipo de phishing en el que los estafadores convencen a las personas para que escaneen un código QR falso que los lleva a un sitio web malicioso, donde pueden ser persuadidos para que entreguen información confidencial o descarguen software dañino.

¿Qué es el zishing?

Zishing es una técnica de phishing que tiene lugar en llamadas de videoconferencia y emplea tecnología deepfake para engañar a las víctimas. La "z" significa Zoom, pero puede suceder en cualquier plataforma.

¿Qué es un ataque de phishing de pescadores?

El phishing de pescadores se dirige a los usuarios de las redes sociales que publicaron quejas sobre una compañía o servicio. Los estafadores crean perfiles falsos en redes sociales y luego contactan al autor original, hacer pasar por un representante de servicio al cliente que quiere ayudar. Pedirán información personal y la usarán para actividades delictivas.

¿Qué es la suplantación de email?

La suplantación de email es cuando los estafadores ocultan su identidad disfrazando su dirección de email o nombre para mostrar, por lo que los emails parecen provenir de alguien que el destinatario reconoce. A veces, los estafadores usan cuentas de email tan cercanas, tal vez diferiendo en una sola letra, que los destinatarios no detectan las discrepancias.

¿Cómo funciona el fraude por email empresarial?

Un ataque de email empresarial se produce cuando los ciberdelincuentes piratean un sistema de email corporativo para crear emails que parecen provenir de alguien en un puesto de liderazgo. Los emails están diseñados para convencer a otros empleados de que revelen información financiera confidencial o autoricen transferencias de pago que envíen dinero a cuentas fraudulentas.

¿Qué es un ataque de scareware?

Un ataque de scareware asusta a los usuarios de computadoras para que instalen software malicioso o abran archivos infectados con virus. Un usuario puede recibir una notificación emergente que advierte falsamente que su computadora fue infectada con un virus peligroso. Luego se les indica que compren software falso o envíen dinero para desbloquear la computadora.

¿Qué es una estafa romántica u honeypot?

Una estafa romántica o de seducción consiste en que los delincuentes crean perfiles realistas en aplicaciones y sitios web de citas o plataformas de redes sociales y fingen interés romántico en las víctimas potenciales. Con la promesa de una relación, piden dinero, promueven esquemas fraudulentos de inversión o criptomonedas o aplicar datos personales para acceder a cuentas financieras.

Los estafadores románticos a menudo evitan las salvaguardas de los sitios de citas proponiendo un cambio a mensajes de texto o emails poco después de que comiencen las conversaciones.

¿Qué debo hacer luego de ser víctima de una estafa?

Si fuiste víctima de una estafa, ponte en contacto con tu banco y con cualquier otra compañía que gestione tus cuentas financieras e infórmales de lo sucedido. Cambie los nombres de usuario y las contraseñas y habilite la autenticación multifactor para las interacciones digitales. Ayude a futuras víctimas denunciando el delito.

La mayoría de los países tienen una autoridad central que maneja las estafas y fraudes cibernéticos. En los EE. UU., Comunicar con la Comisión Federal de Comercio a través de su sitio web o llamando al 877-IDTHEFT (438-4338). Europol tiene una lista de Estados miembros con sitios web de reportes individuales

Esta historia se publicó originalmente el 7 de marzo de 2024 y se actualizó con nuevas estadísticas de la FTC.  

Prevención del fraude

Proteger a sí mismo, a su familia y a su negocio

 

 

Hay pasos simples para proteger nuestras interacciones digitales y evitar las estafas. Consulte estos consejos de la Agencia de Infraestructura y Ciberseguridad de EE. UU.

 

 

 

Más información