El INCIBE advierte a los autónomos de una nueva estafa que intenta suplantar a la Agencia Tributaria

1. Consejos de INCIBE para enfrentarse a esta estafa 
2. Guía de cómo detectar y enfrentarse al ‘phishing’ o suplantación de identidad
   • ¿Cómo identificar un ataque de ‘phishing’?
   • ¿Cómo protegerse del ‘‘phishing’?
3. Estos son los tipos de ataques más frecuentes
4. Algunos antivirus gratuitos los expertos recomiendan a los autónomos

Los ciberdelincuentes llevan años centrando sus estafas en los autónomos y pequeños negocios. Habitualmente intentan persuadir a las víctimas con remuneraciones económicas o haciéndose pasar por un organismo público como la Seguridad Social o la Agencia Tributaria. A falta de una quincena para que termine la Campaña de la Renta, el Instituto Nacional de Ciberseguridad (INCIBE) advirtió a los trabajadores por cuenta propia de un fraude por correo electrónico (phising) que busca datos bancarios suplantando a Hacienda prometiendo un reembolso de 450 euros por la declaración.

El organismo señaló que este fraude tiene un riesgo muy alto y que es bastante prolífico (4 puntos sobre 5) y que principalmente va destinado a autónomos que “realicen habitualmente operaciones de banca electrónica. “Se han detectado una campaña de envío de correos electrónicos fraudulentos de tipo phising (suplantación de identidad) haciéndose pasar por la Agencia Tributaria. En dichos correos se utiliza como gancho un reembolso de 450 euros, aunque esta cifra podría variar”, afirmó en un comunicado el INCIBE.

En el correo que a modo de ejemplo publicó el INCIBE, se puede observar como el ciberdelincuente alude a los “cálculos anuales del ejercicio de tu actividad para recibir una devolución de impuestos”. Para ello, los estafadores solicitan a los autónomos determinados datos como el nombre del emprendedor, su código postal y los datos bancarios a través de un enlace que conduce a una web fraudulenta.

Consejos de INCIBE para enfrentarse a esta estafa 

Cada año, INCIBE detecta múltiples estafas en las que los delincuentes intentan obtener datos personales y bancarios de los autónomos. Ante ello, ofrecen las siguientes recomendaciones tanto en el caso de haber sufrido el ataque como para prevenir futuros riesgos:

• “Si el autónomo o cualquiera de sus empleados ha recibido un correo con estas características, ignoradlo”.
• “En el caso de que el trabajador por cuenta propia haya accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, el emprendedor deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma”.
• “Si el autónomo ha facilitado las credenciales de su cuenta financiera, recopile todas las pruebas de las que disponga (capturas de pantalla, el e-mail, mensajes, etc.) y contacte con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia”.
• “Se recomienda no abrir mensajes de usuarios desconocidos o que no hayan sido solicitados, elimínelos directamente. Los ciberdelincuentes también puede atacar vía móvil a través de un mensaje de texto”.
• “Chequear los enlaces siempre aunque sean de usuarios conocidos. Podemos comprobarlo situándonos sobre él para ver si es el de la entidad legítima o usando herramientas para expandirlo si está acortado”.
• “No descargar nunca los ficheros adjuntos a los correos electrónicos o mensajes de texto de terceros”.

Guía de cómo detectar y enfrentarse al ‘phishing’ o suplantación de identidad

A diferencia de otros tipos de amenazas de Internet, el autor del phishing no necesita conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. En este sentido, este ciberataque no busca romper ni acceder a tu ordenador, sino que sea el propio usuario el que le de los datos que necesita sin ningún tipo de acción técnica.

¿Cómo identificar un ataque de ‘phishing’?

Según Malwarebytes, reconcer un ataque de ‘phishing’ no siempre es sencillo. La empresa de software antivirus recomienda a los autónomos y emprendedores confiar en su intención  y no “dejarse llevar” por algo raro o inusual en su correo electrónico o dispositivo móvil. Por ello, la empresa de software enumera algunas de las señales a tener en cuenta cómo intento de ‘phishing’:

• El correo electrónico, llamada o mensaje de texto hace una oferta demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro o alguna otra cosa con un valor muy elevado.
• En el caso de que el emprendedor reconozca al remitente, pero habitualmente no tenga contacto con él puede tratarse de otro caso de fraude. Especialmente cuando el contenido del correo o mensaje no tiene nada que ver con las responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamento con los que no tiene relación.
• Otro tipo de fraude puede resultar si el contenido suena alarmante o aterrador para crear un sentido de urgencia, instándole al autónomo a que haga clic y “actué ahora” antes de que “se elimine su cuenta”. Es importante destacar que las organizaciones nunca solicitan estos detalles personales a través de Internet.
• Los autónomos nunca deben abrir un mensaje que contenga archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener algún tipo de virus o alguna otra amenaza online que puede afectar nuestros dispositivos.

¿Cómo protegerse del ‘‘phishing’?

Como se ha indicado previamente, el ‘phishing’ es una amenaza que ofrece “igualdad de oportunidades”, capaz de aparecer en ordenadores de escritorio, portátiles, tabletas y teléfonos móviles. La mayoría de los navegadores de Internet disponen de formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es el buen criterio de usuario.

En este sentido, Kujawa propone algunas de las prácticas más importantes para mantenerse a salvo:

• No abrir correos electrónicos de remitentes que no le sean familiares.
• No hacer clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
• Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
• Busque el certificado digital del sitio web.
• Si el corre pide que proporciones información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
• Finalmente, si sospechas que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévalo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.

Estos son los tipos de ataques más frecuentes

A pesar de sus muchas variedades, el denominador común de todos los ataques de ‘phishing’ es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

Spear ‘phishing’

Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Según ejemplifica  Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.

‘Phishing’ de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

‘Phishing’ telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

Algunos antivirus gratuitos los expertos recomiendan a los autónomos

No obstante, la mejor protección para los autónomos y negocios es disponer de un buen sistema de seguridad que garantice la protección de los dispositivos informáticos. De este modo, los trabajadores por cuenta propia deben considerar como prioritario proteger todo el contenido digital, como un cambio regular de sus contraseñas, no acceder a enlaces desconocidos y contar con un antivirus que les avise en caso de amenaza. A continuación desglosamos un listado de los antivirus gratuitos que distintos portales web especializados en tecnología recomiendan para proteger nuestros ordenadores:

• Avira Antivirus: Según PC World, portal especializado en tecnología informática, este antivirus es uno de los más recomendados por los expertos por su facilidad de uso, su diseño sencillo y gran rendimiento. Entre sus herramientas se incluyen el detector de páginas web poco fiables y una opción para bloquear la publicidad y así evitar que rastreen tu información online.
• Bitdefender: Con una gran reputación en el sector de los antivirus, su versión gratuita ofrece un servicio básico recomendado para cualquier ordenador.
• Kapersky: Otro de los antivirus con renombre en el mundo de la protección informática que recientemente ha lanzado su versión gratuita para PC.
• AVAST: Avast ofrece una protección  básica contra amenazas desconocidas, además de un gestor de contraseñas.
• AVG: AVG estará en funcionamiento mientras llevas a cabo tus tareas sin que te des cuenta, apenas notarás su existencia y al mismo tiempo estarás protegido.
• Microsoft Windows Defender: Windows Defender viene integrado en Windows 10 y Windows 8. Es posiblemente la opción más práctica para gran parte de los usuarios ya que su funcionamiento es automático, a no ser que lo hayas deshabilitado o que hayas instalado otro sistema antivirus.