Una nueva amenaza para la ciberseguridad: el scraping
Cuentas falsas se hacen pasar por entidades financieras para robo de datos
La empresa de ciberseguridad ESET alertó sobre una nueva modalidad de estafa detectada entre los seguidores de las redes sociales de los bancos. La modalidad intenta engañar a los usuarios para que entreguen claves de acceso online, acepten préstamos y transfieran dinero.
En este tipo de estafas la mayoría de los usuarios de redes sociales siguen a una institución financiera cuando necesitan enviar un mensaje privado para realizar algún reclamo o consulta; el problema es que son contactados desde una cuenta falsa.
El término que se usa para describir este engaño es scraping (o raspado, en inglés) que se aprovecha desde los likes que se dan en las redes sociales hasta la lista de seguidores y seguidos.
Según explicó la compañía ESET, si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.
“El scraping o web scraping es una técnica para extraer todo tipo de datos interesantes de cualquier página y de todos sus enlaces, incluyendo la información de todos los seguidores y contactos en el caso de redes sociales. Esto generalmente se hace de manera automatizada”, explicó José Luis López, director de ESET en Uruguay, al diario El País.
Desde el punto de vista técnico, “los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras; minutos más tarde corren nuevamente ese script y comparan ambas listas para identificar los usuarios nuevos. De forma automática un ‘bot’, desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos”.
DIFERENCIAS. Las estafas virtuales que han surgido en los últimos tiempos son varias: ellas son el phishing ,el vishing y, ahora, el scraping. “El phishing es la técnica de ‘pescar’ incautos, suplantando la identidad de usuarios y empresas legítimas (el clásico ‘hacerse pasar por’), generalmente a través de un correo electrónico. Cuando se usan mensajes de texto (SMS) a esta técnica se le suele llamar smishing”, indicó López.
Y aclaró el otro término: “El vishing es muy similar al phishing con la salvedad que se utiliza la voz (por ejemplo, una llamada telefónica o un mensaje que se hace pasar por la llamada legítima de una empresa o persona)”.
¿Para qué los ciberdelincuentes buscan acercarse a sus víctimas a través de estas técnicas? La razón es que a través de los datos y credenciales se puede acceder a información sensible o cuentas bancarias de las víctimas.
“Lo que obtienen los cibercriminales con estas técnicas es mucho dinero, ya que acceden a tarjetas de crédito, credenciales de inicio de sesión de cuentas bancarias o de sitios de pago. También secuestran y piden rescate por cuentas de usuarios y empresas o usan estas cuentas robadas para lanzar otro tipo de ataque más profundo a empresas. La mayoría de los grandes ataques de ransomware (con el cifrado de toda la información), se ha iniciado con el robo de las contraseñas de un correo electrónico con técnicas de phishing”, remarcó el especialista en ciberseguridad.
VÍCTIMAS. A pesar de las advertencias de las organizaciones y especialistas, las estafas digitales son frecuentes porque muchas personas aún caen en ellas.
“Este tipo de estafas siempre apuntan al usuario desprevenido, al que no toma conciencia de que en internet, no todos son quienes dicen ser, y termina haciendo clic en enlaces o adjuntos que no solicitó o cree en la información que se le presenta sin confirmarlo antes. Por supuesto, nunca se debe hacer esto último respondiendo al mismo mensaje o mail recibido. Se debe constatar la información por otros medios de contacto, por ejemplo llamando a la persona o a la empresa ‘real’”, subrayó López.
Para el especialista en ciberseguridad la primera regla para no ser víctima de este tipo de delitos es desconfiar como si lo hiciéramos en el mundo real.
Además, señaló que “el consejo más básico para no caer en estas trampas, es el de nunca ingresar nuestros datos de inicio de sesión directamente en los enlaces recibidos. Tampoco debemos hacer clic o descargar adjuntos no solicitados sin comprobar antes que esa persona o institución realmente nos envía ese archivo”.
Y concluyó: “¿Alguien confiaría en cualquier persona que nos cruza en la calle y nos pide los datos de nuestra tarjeta de crédito para ‘ayudarnos’ a realizar un pago o retiro de dinero?”.
Los datos que damos en las redes sociales ponen en riesgo la seguridad virtual.