Siguen creciendo los ciberataques a los autónomos: la Seguridad Social advierte de una nueva estafa

Siguen creciendo el número y la variedad de los ciberataques a los autónomos. Los delincuentes están viendo en el colectivo una buena cantera para realizar sus actividades a través de los correos electrónicos de sus negocios. El Ministerio de Inclusión y Seguridad Social alertó a los autónomos y pequeños negocios de una nueva ciberestafa. Se trata de otro ejemplo más de phishing, práctica – explicaron desde el Instituto Nacional de Ciberseguridad (INCIBE) – cada vez más extendida entre los delincuentes. Ya sea suplantando de organismos como la Tesorería o la entidad financiera de los trabajadores por cuenta propia, los estafadores buscan obtener los datos privados o bancarios de los autónomos para robarles.

A través de sus redes sociales, la Seguridad Social advirtió de un correo electrónico fraudulento en el que los delincuentes ofrecían a los autónomos el reembolso de “los últimos cómputos anuales del ejercicio”. Para llamar la atención de las víctimas, los estafadores ofrecían 450 euros.

🔴🔴🔴¿Has recibido este correo electrónico?

⚠️Es un #FRAUDE #NoPiques

👉¿Tienes dudas con alguna comunicación, carta, mensaje⁉️ Escríbenos 🖊️

⛔️NO descargues ninguna aplicación, ni pinches en los enlaces o archivos adjuntos.#Pishing#Ransonware pic.twitter.com/hERACTmFmA

— Atención a la ciudadanía de @inclusiongob (@incluinfo) October 21, 2022

Desde la Seguridad Social recordaron que ante cualquier correo electrónico, mensaje de texto sospechoso o comunicación sospechosa; el autónomo debe contactar directamente con la organización o institución correspondiente. Es decir, si un autónomo recibe un mensaje de texto de su banco habitual en el que se le exige datos o dinero, lo más prudente es comunicarse directamente con la entidad financiera para evitar posibles sustos.

Los ciberdelincuentes llevan años centrando sus estafas en los autónomos y pequeños negocios. Habitualmente intentan persuadir a las víctimas con remuneraciones económicas o haciéndose pasar por un organismo público como la Seguridad Social o la Agencia Tributaria. En reiteradas ocasiones, el INCIBE ha advertido a los trabajadores por cuenta propia de uno de los ataques más comunes y prolíficos: el phising. El organismo señaló que este fraude tiene un riesgo muy alto y que es bastante prolífico (4 puntos sobre 5) y que principalmente va destinado a autónomos que “realicen habitualmente operaciones de banca electrónica. 

En la web del propio INCIBE se muestran en los últimos años distintas ciberataques masivos contra los autónomos. Los delincuentes no sólo se hacen pasar por Hacienda o la Tesorería. Como señaló en varios comunicados el organismo, los estafadores también suplantan la identidad de empresas de paquetería como Correos o DHL; entidades financieras como CaixaBank o el Banco Santander; e incluso al Tribunal de Cuentas.

¿Qué es el phising?

“Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias”, explicaron desde INCIBE.

Este tipo de ataque tiene dos caras:

• Los autónomos o sus empleados: pueden recibir un email, una llamada telefónica o un mensaje SMS, que en realidad “es un timo, con el que intentarán robarnos los datos personales, es decir, seremos los «pescados»”, añadieron desde el INCIBE.
• La página web del negocio: puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada.

Es decir, con este nombre se conoce un tipo de estafa, generalmente a través de un mensaje fraudulento de correo electrónico, con el que el ciberdelincuente pretende capturar de forma ilícita nuestros datos personales: como contraseñas de acceso a nuestros sistemas o datos de nuestras cuentas bancarias.

Y también se denomina así al ataque que sufrimos en nuestra web por el que cambian su aspecto para suplantar a una entidad a la que redirigen a los que pican en los mensajes fraudulentos que envían masivamente y que podrían ser enviados desde la página falsa de la entidad suplantada.

¿Cómo identificar un ataque de phishing?

Según Malwarebytes, reconcer un ataque de ‘phishing’ no siempre es sencillo. La empresa de software antivirus recomienda a los autónomos y emprendedores confiar en su intención  y no “dejarse llevar” por algo raro o inusual en su correo electrónico o dispositivo móvil. Por ello, la empresa de software enumera algunas de las señales a tener en cuenta cómo intento de phishing:

• El correo electrónico, llamada o mensaje de texto hace una oferta demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro o alguna otra cosa con un valor muy elevado.
• En el caso de que el emprendedor reconozca al remitente, pero habitualmente no tenga contacto con él puede tratarse de otro caso de fraude. Especialmente cuando el contenido del correo o mensaje no tiene nada que ver con las responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamento con los que no tiene relación.
• Otro tipo de fraude puede resultar si el contenido suena alarmante o aterrador para crear un sentido de urgencia, instándole al autónomo a que haga clic y “actué ahora” antes de que “se elimine su cuenta”. Es importante destacar que las organizaciones nunca solicitan estos detalles personales a través de Internet.
• Los autónomos nunca deben abrir un mensaje que contenga archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener algún tipo de virus o alguna otra amenaza online que puede afectar nuestros dispositivos.

Estos son los tipos de phising más comunes

A pesar de sus muchas variedades, el denominador común de todos los ataques de ‘phishing’ es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

Spear ‘phishing’

Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Según ejemplifica  Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.

Phishing de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

Phishing telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.