MENÚ

Por qué una web que comienza por "https" puede ser fraudulenta, cómo evitar falsas ofertas de trabajo y supuestos códigos para saber si te están espiando las llamadas: llega el 8º consultorio de Maldito Timo

Publicado
Comparte

Estamos en el último martes del mes y toca una nueva edición de nuestro consultorio mensual de Maldito Timo. Hoy explicamos por qué el hecho de que una página web tenga el “candado” y empiece por “https://” no significa que sea legítima. El protocolo HTTPS cifra las comunicaciones entre la web y el dispositivo del usuario, pero esa web podría tratarse de una suplantación. Asimismo, os damos una serie de consejos para identificar ofertas de trabajo fraudulentas y os contamos cómo evitarlas. Por último, resolvemos una duda: ¿Podemos saber si no están espiando pulsando el *#61#? Os explicamos qué son los códigos USSD, claves que nos permiten acceder a características ocultas de nuestro móvil como el desvío de llamadas.

Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Empezamos!

Estoy navegando en una página web que comienza por “https://”, ¿eso me garantiza que es segura? *

Uno de los consejos más extendidos para navegar de forma segura en Internet es comprobar que estamos en una página web que cuenta con el protocolo HTTPS. Este protocolo de seguridad indica que una web cuenta con un certificado SSL/TLS y obliga a encriptar las comunicaciones entre el servidor y el navegador del usuario. Esto significa que si alguien intercepta lo que hemos introducido en una web “lo único que obtiene es una serie de letras, números y caracteres especiales totalmente incomprensibles”, según explica la empresa de ciberseguridad ESET en su blog.

Por ejemplo, tener implementado el protocolo HTTPS “evita que alguien pueda robar credenciales o datos de tarjetas de crédito simplemente espiando nuestro tráfico de datos, por ejemplo, en una WiFi pública”, explica Josep Albors, director de Investigación y Concienciación de ESET España. Por este motivo, nunca debemos introducir nuestros datos personales en una página que empiece por “http://” sin la “s”, dado que esa información no viajará encriptada.

No obstante, que una página en la que estamos navegando comience por “https://” no nos garantiza que sea una web completamente segura. “Durante muchos años se ha estado diciendo a los usuarios que si la web lleva el candado (que confirma la implementación del protocolo HTTPS), esta es segura, cuando no tiene por qué ser así”, lamenta Albors.

Los ciberdelincuentes pueden utilizar páginas web que cuentan con el protocolo HTTPS para lanzar ataques de phishing. En esas webs se suplanta la identidad de alguna empresa o institución que conocemos, usando su imagen corporativa, con el objetivo de hacerse con nuestros datos personales o bancarios. Por ejemplo, en Maldita.es hemos advertido recientemente de los SMS fraudulentos que te advierten de un pago sospechoso con tu tarjeta de Abanca. Si nos fijamos en la URL que incluye el mensaje de texto, podemos comprobar que comienza por “https://”, pero no se trata de una página segura. Si introducimos nuestras credenciales de la banca online en esa página, los timadores tendrán acceso a nuestra cuenta.

Comparativa entre la URL fraudulenta y la oficial de Abanca

“Actualmente, muchas webs maliciosas ya incorporan este candado (...) En ellas, van a robarles a los usuarios cualquier tipo de información que introduzcan en ellas o a descargar malware en sus dispositivos”, advierte Albors. El experto explica que iniciativas como Let’s Encrypt, una autoridad de certificación gratuita y abierta, han facilitado que cualquiera pueda obtener el “candadito”, también los ciberdelincuentes. De hecho, según datos de 2020 de la empresa de ciberseguridad PhishLabs, tres cuartos de los ataques de phishing se realizan en páginas web con el protocolo HTTPS, una tendencia que se ha ido incrementando en los últimos años.

Porcentaje de ataques de ‘phishing’ alojados en webs con protocolo HTTPS. Fuente: PhishLabs

A través de nuestro ‘buzón de timos’ ([email protected]), recibimos mensajes de personas que han comprado artículos en una web suplantadora, que se hacía pasar por una tienda de Inditex, porque el enlace comenzaba por “https://” y creían que era segura. Pero, como decimos, que una web incorpore el protocolo HTTPS no es una garantía de que sea segura. Por eso, es muy importante comprobar que la URL es correcta y que estamos navegando en la web oficial de la marca u organización que anuncia ser. Mucho ojo, porque el nombre de la web fraudulenta podría estar imitando al de la página lícita. En este artículo te damos más consejos para que no te la cuelen.

Cómo evitar caer en ofertas de trabajo fraudulentas

Empleos a medio tiempo desde casa y con una gran remuneración diaria. Este es el tipo de ofertas de empleo sospechosas de las que alertamos habitualmente desde Maldita.es. Los timadores se aprovechan de nuestra necesidad de encontrar un trabajo para engañarnos, con el objetivo de obtener nuestros datos personales o, incluso, de obtener un beneficio económico directo. Pero, ¿qué podemos hacer nosotros para reconocer una oferta fraudulenta?

Para empezar, según indica la Oficina de Seguridad del Internauta (OSI), tenemos que sospechar si recibimos una oferta de empleo sin haberla solicitado o sin habernos apuntado a ningún proceso de selección. Estas ofertas inesperadas nos pueden llegar, por ejemplo, a través de un mensaje de texto o de un mensaje directo en una red social.

Una vez tenemos delante esa oferta de trabajo sospechosa, debemos fijarnos en si el texto está mal redactado o falta información sobre el puesto que supuestamente nos ofrecen. Es el caso, por ejemplo, de las falsas ofertas que se difunden a través de Facebook en las que se suplanta a empresas como Mercadona. La mayoría de estas publicaciones suelen incluir un montaje fotográfico de baja calidad y un lenguaje impropio de una oferta de trabajo, aunque lo que más se repite es que piden al usuario que comparta la oferta en redes antes de poder presentarse a la vacante.

Captura de falsa oferta de trabajo de Mercadona que se difundió por Facebook

También debemos desconfiar si nos ofrecen un gran salario trabajando desde casa y sin necesidad de experiencia previa. Esto lo vemos, por ejemplo, en el caso de los SMS que te ofrecían un supuesto empleo con un salario de hasta 500 euros diarios con el que podías trabajar desde cualquier lugar. Y ojo si te piden que realices una llamada a un número de teléfono de tarificación especial (los que comienzan por 803, 806, 807…) para hablar sobre las condiciones de la supuesta vacante. Realizar una llamada a este tipo de números supone un alto coste en la factura del teléfono.

Si estás optando a un puesto, mucho cuidado si te solicitan dinero o que realices algún pago para empezar a trabajar. “Si una empresa nos solicita dinero bajo cualquier excusa, estaremos casi con total seguridad ante un fraude. Generalmente se hace alegando gastos de gestión o en concepto de material de estudio que posteriormente serían devueltos, lo cual no es cierto. Una empresa de verdad nunca solicitará dinero para trabajar con ellos”, apunta la OSI. La institución también advierte de los supuestos empleos que consisten en transferir dinero de unas cuentas bancarias a otras, porque podríamos convertirnos en una “mula bancaria” e incurrir en un delito de blanqueo.

Por último - pero no menos importante -, debemos buscar información sobre la empresa en Internet. “Si después de haber ‘googleado’ no vemos ningún indicio de la existencia de la empresa y no hay referencias o estas son muy limitadas, lo más probable es que sea un fraude”, explica la OSI. Además, podemos usar una serie de técnicas para investigar a la supuesta empresa. Por ejemplo, consultar la información registrada sobre la empresa en el Boletín Oficial del Registro Mercantil (BORME) y en otros registros oficiales, como el Censo Nacional de Empresas. Con herramientas como Who.is, podemos obtener información sobre quién gestiona el dominio de la página web de la supuesta compañía. También podemos buscar la supuesta dirección de la empresa en mapas online como Google Maps.

¿Puedo saber si mi teléfono está intervenido pulsando el *#61#? Qué son los códigos USSD

“Si marcas *#61# aparece si tu número está intervenido y las acciones de esa intervención. Así descubrí que mi teléfono está pinchado”. Puede que hayas visto circular en los últimos días mensajes de este estilo, que aseguran que marcando un simple código en nuestro teléfono podremos saber si nos están espiando.

Pero estos códigos en realidad se tratan de Códigos USSD (servicio de datos suplementarios desestructurados, por su traducción en inglés), tal y como detalla Mario Sánchez, experto en bases de datos, seguridad informática, desarrollo de apps, y maldito que nos ha prestado sus superpoderes.

Como explica el experto, estos códigos no cumplen funciones de ciberseguridad, sino que son una serie de claves que permiten acceder a algunas funciones ocultas de nuestro dispositivo móvil o de nuestra operadora de teléfono, dependiendo de qué caracteres introducimos. Es decir, nos permiten configurar servicios como el desvío de llamadas, el contestador de voz, o llamar desde un número oculto, entre otros. Sánchez detalla que estos códigos pueden ser útiles a la hora de detectar problemas técnicos. “Son códigos especiales que se pueden ingresar en un teléfono móvil a través de la aplicación de marcado para acceder a funciones específicas del sistema”, explica el experto.

Estos códigos suelen comenzar con caracteres como el asterisco (*) o la almohadilla (#), y que “generalmente son utilizados para acceder a información de la red, como el estado de la señal, o el saldo de una tarjeta SIM”. En el caso que nos ocupa, el *#61#, se trata del código para poder comprobar a qué número se van a reenviar las llamadas perdidas. “Si ese número es extraño y no reconocido, podría haber algún problema si no se produce el desvío, pues las llamadas entrantes se estarían desviando a un número desconocido”, detalla Sánchez.

Si bien este código “no tiene ninguna relación con la detección de espionaje o vulnerabilidades en el dispositivo”, afirma el experto. “Lo que indica es que se desvía la llamada, no que está intervenido, y todo lo que llega se graba o se escucha en ese otro número”, explica el experto. Sánchez insiste en que para mantenernos protegidos lo más importante es mantener el sistema operativo y las aplicaciones actualizadas, y emplear aplicaciones de seguridad móvil.

Desde Maldita.es hemos introducido este mismo código en un dispositivo iPhone y un dispositivo Android, para comprobar que el desvío de llamadas no está activado en nuestro caso.

Captura de pantalla de un iPhone tras introducir el *#61#
Captura de pantalla de un Android tras introducir el *#61#

Si tuviéramos el desvío de llamadas activado y lo queremos desactivar, bastaría con introducir el #21# en dispositivos Android o el ##002# en dispositivos iPhone.

Captura de pantalla de un Android tras introducir el #21#
Captura de pantalla de un iPhone tras introducir el ##002#

Y para terminar…

Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!

En este artículo han colaborado con sus superpoderes los malditos Mario Sánchez.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

*Este artículo se ha actualizado para incluir referencia a los certificados SSL y TLS.