El ciberdelito mueve muchísimo dinero, los ciberdelincuentes frecuentan sitios de la dark web o Internet oscura donde compran y venden grandes cantidades de datos robados, así como las herramientas necesarias para obtenerlos.
Se estima que hay hasta 24 mil millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan actualmente en esos ámbitos y entre los más buscados se encuentran los datos de tarjetas de crédito y débito, que los estafadores compran para cometer fraude de identidad.
Los estafadores podrían usar los datos para comprar artículos de lujo para su posterior venta, o para comprar tarjetas de regalo a granel, que es otra forma popular de lavar fondos obtenidos ilícitamente
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Formas más comunes en que los ciberdelincuentes buscan obtener los datos de tarjetas de crédito de las personas y cómo protegerlos.
puedes leer:
Robo de datos por phishing
El phishing, en su forma más simple, es un engaño por el cual el cibercriminal se hace pasar por una entidad legítima (banco, tienda online o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue software malicioso sin darse cuenta.
Los mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, dirigen al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Pese a ser una forma de ataque muy conocida, alcanzó el máximo histórico en el primer trimestre de 2022, algo que ya había sucedido en 2021.
El phishing fue evolucionado y dando lugar a formas de ataque similares. En lugar de un correo electrónico, las víctimas pueden también recibir un mensaje texto (SMS) malicioso, conocido como «smishing», donde un ciberdelincuente se puede hace pasar, por ejemplo, por una empresa de entrega de paquetería, una agencia gubernamental u otra organización de confianza.
Los estafadores pueden incluso llamar por teléfono, en una forma de ataque conocida como «vishing», donde nuevamente fingen ser una fuente confiable con el objetivo de convencer al individuo para que comparta los detalles de su tarjeta. El smishing se duplicó en 2021, mientras que el vishing también aumentó.
Robo de datos con malware
Se han desarrollado diferentes tipos de códigos maliciosos diseñados para robar información. Algunos pueden registrar las pulsaciones del teclado de la víctima; por ejemplo, mientras escribe los detalles de la tarjeta en un sitio de comercio electrónico o bancario.
Los ciberdelincuentes colocan estos programas maliciosos en los dispositivos mediante correos de phishing, mensajes de texto o también a través de anuncios publicitarios maliciosos.
En otros casos se compromete un sitio web que recibe muchas visitas y se espera a que los usuarios ingresen para infectarlos. Ciertos códigos maliciosos se descargan automáticamente, y se instalan en el equipo apenas el usuario visita el sitio comprometido.
El malware que roba información también suele estar oculto dentro de aplicaciones móviles maliciosas que parecen legítimas.
Robo de datos por web skimming
Los ciberdelincuentes también instalan malware en páginas de pago de sitios de comercio electrónico legítimos. Estos códigos maliciosos son invisibles para el usuario, pero sustraen los detalles de la tarjeta a medida que son ingresados.
Para estar a salvo, ESET recomienda comprar en sitios confiables y usar aplicaciones de pago de renombre, que probablemente sean más seguras. Las detecciones de web skimmers aumentaron un 150% entre mayo y noviembre de 2021, revelaron.
Filtraciones de datos
A veces, los datos de las tarjetas se obtienen no de los usuarios, sino directamente de empresas con las que se hace algún tipo de transacción o negocio. Podría ser desde un proveedor de atención médica hasta una tienda en línea o una agencia de viajes.
Esta modalidad es más rentable desde la perspectiva de los delincuentes, porque a través de un solo ataque logran acceder a una gran cantidad de datos. En cambio, con las campañas de phishing, si bien son ataques que se lanzan de forma automatizada, tienen que robar a los individuos uno por uno.
Robo de datos en redes Wi-Fi públicas
Cuando se está fuera de casa puede resultar tentador navegar por la web utilizando puntos de acceso Wi-Fi públicos. Muchos suelen hacerlo con sus celulares y notebooks en aeropuertos, hoteles, cafeterías y otros espacios compartidos.
Incluso si se paga por para unirse a una de estas redes, pueden ser inseguras si los ciberdelincuentes también se conectaron, ya que se podrían usar ese acceso para espiar datos de terceros a medida que son ingresados.
Cómo proteger los datos de la tarjeta de crédito: 8 consejos clave
- Estar alerta. Si recibe un correo electrónico inesperado o no solicitado, nunca responder ni hacer clic en enlaces. Tampoco abrir archivos adjuntos. Podría tratarse de un engaño que busca infectar con malware. O podrían llevar a páginas de phishing que parecen legítimas y en las que solicitarán el ingreso de datos.
- No divulgar ningún detalle por teléfono, incluso si la persona al otro lado suena convincente. Preguntar de dónde están llamando y luego llamar a esa organización para verificar. No utilizar para eso los números de contacto que proporcionan.
- No usar Internet si se está conectado a una red de Wi-Fi pública, especialmente si no se usa una VPN (red privada virtual). En esos ámbitos, no hacer ninguna tarea que requiera ingresar los datos de la tarjeta (por ejemplo, compras online).
- No guardar los detalles de la tarjeta de crédito o débito en el navegador, aunque esto permita ahorrar tiempo en las próximas compras. Eso reduce considerablemente las chances de que esos datos sean robados si la empresa o plataforma sufre una filtración o si un atacante logra secuestrar la cuenta.
- Instalar una solución antimalware de un proveedor confiable en cada uno de los dispositivos conectados a Internet.
- Activar la autenticación en dos pasos en todas las cuentas que tengan información sensible. Esto reduce las posibilidades de que los atacantes puedan acceder a las cuentas incluso si lograron obtener las claves, ya que el sistema verificará la identidad por otra vía.
- Sólo descargar aplicaciones de tiendas oficiales, como la App Store en los iPhones o Google Play en los dispositivos Android.
Otras sugerencias
- Al comprar en línea, sólo hacerlo en sitios cuya dirección empiece con «https» y en los que el navegador muestre un pequeño candado al lado de la URL. Esto significa que hay menos posibilidades de que los datos puedan ser interceptados.
Finalmente, una práctica siempre recomendable es monitorear los movimientos de las cuentas bancarias y las tarjetas. Si detecta alguna transacción sospechosa, informe de inmediato al equipo de fraude de su banco o proveedor de tarjeta
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Algunas aplicaciones ahora permiten ‘congelar’ todos los gastos en tarjetas específicas hasta determinar si ha habido una violación de seguridad». «Hay muchas formas en que los malos obtienen los datos de nuestra tarjeta, pero también podemos hacer muchas cosas para mantenerlos lejos
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Fuente: El Clarín
