¡Hola Malditas y Malditos! Aquí estamos un martes más para resolver todas vuestras dudas sobre ciberseguridad. En la edición de hoy os explicamos cómo podemos evitar recibir esas llamadas comerciales agresivas que llegan a horas intempestivas. Spoiler: la ley de protección de datos nos ayudará a librarnos de ellas. También explicamos qué es el método de timo denominado carding, con el que intentan hacer un uso fraudulento de los datos de tu tarjeta bancaria. Te contamos cómo se hacen los timadores con tus datos y qué puedes hacer para protegerlos. Por último, explicamos qué es un ataque Browser-in-the-Browser: los timadores clonan las ventanas emergentes de inicio de sesión para hacerse con las credenciales de nuestro correo electrónico o redes sociales.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
1. ¿Cómo defenderse del acoso comercial telefónico?
Las llamadas comerciales agresivas con las que intentan vendernos algún servicio no son siempre plato de buen gusto, especialmente si se producen a la hora de la siesta o por la noche, cuando ya estás a punto de irte a dormir. No obstante, como usuarios de telecomunicaciones tenemos ciertos derechos que nos pueden proteger de este acoso comercial telefónico.
Laura Davara Fernández de Marcos, abogada y profesora del Máster en Protección de Datos de UNIR, explica a Maldita.es que los usuarios estamos amparados por la ley. En concreto, la Ley General de Telecomunicaciones establece el derecho a no recibir llamadas no deseadas con fines de comunicación comercial.
También la Ley Orgánica de Protección de Datos Personales (LOPD) dice que pueden crearse sistemas de exclusión publicitaria que incluirán “datos imprescindibles para identificar a los afectados” con el objetivo de “evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas”. La Lista Robinson, es precisamente un sistema de exclusión publicitaria en el que podemos apuntarnos y elegir por qué medios queremos dejar de recibir publicidad (llamada, correo electrónico, SMS…).
“Las empresas tienen la obligación de consultar esa Lista Robinson y de no llamar a nadie que esté dado de alta en esa lista. Inscribirte es gratuito y muy rápido”, señala Davara. Si bien, hay que tener en cuenta que no es algo inmediato. Es decir, las empresas no van a dejar de llamar el mismo día en el que nos apuntamos a la lista porque el proceso lleva un tiempo: desde Adigital, la asociación que fundó la Lista Robinson y que se ocupa de gestionarla, explican que la inscripción puede tardar hasta dos meses en ser plenamente efectiva.
Existe otra opción y es ejercer nuestro derecho de oposición en la propia llamada comercial. Es tan simple como indicarle a la persona que nos llama que queremos ejercer ese derecho y no recibir más llamadas de parte de la empresa. Según la especialista, el teleoperador debería reaccionar de dos maneras: darnos efectivamente de baja en la base de datos o indicarnos qué proceso debemos seguir para ejercer ese derecho, que puede ser una comunicación vía correo electrónico o a través de otro número de teléfono.
A veces, esas llamadas que recibimos son consecuencia de que dimos nuestro consentimiento para recibir publicidad sin darnos cuenta o por cualquier otro motivo. “Hay que saber que el consentimiento es revocable y se puede quitar en cualquier momento sin justificar absolutamente nada”, insiste Davara.
Es posible que, pese a nuestros esfuerzos, sigamos recibiendo llamadas comerciales no deseadas. “Que una norma prohíba una conducta no implica que se vaya a respetar, siempre habrá infractores”, apuntaba Verónica Alarcón, abogada especializada en protección de datos en ePrivacidad, a Maldita.es.
Si detectamos que algunas empresas siguen llamándonos para ofrecernos sus productos meses después de habernos apuntado en la Lista Robinson o de haber ejercido nuestro derecho de oposición, podemos poner una reclamación ante la Agencia Española de Protección de Datos (AEPD). Denunciar ante el organismo las malas prácticas puede llevar a que se sancione a la empresa por no respetar el derecho de oposición. Por ejemplo, la AEPD sancionó en 2021 a Vodafone con 8 millones de euros por, entre otras cosas, llamar a personas que habían pedido su inclusión en la Lista Robinson.
2. ¿En qué consiste el ‘carding’ y cómo pueden los timadores hacerse con los datos de mi tarjeta bancaria?
¿Has oído hablar del carding últimamente? Aunque se trata de un término anglosajón, en realidad, hace referencia a un método de timo muy común: utilizar información de tarjetas robadas para usarlas de manera fraudulenta. Los ciberdelincuentes, tras obtener los datos de la tarjeta, “proceden a realizar compras para verificar que la información que han replicado en una tarjeta virtual es válida”, según indica el Instituto Nacional de Ciberseguridad (INCIBE).
Para ello, comienzan comprando productos o servicios de bajo coste y van aumentando el precio para tratar de descubrir el saldo disponible. Un ejemplo real de carding lo vimos en España en el año 2013 con una operación denominada “Proxy”. La Guardia Civil detuvo a integrantes de una organización internacional que se dedicaba a adquirir todo tipo de productos con la información robada de tarjetas bancarias (billetes de avión o tren, dispositivos tecnológicos, etc.) que después vendían a un precio inferior al valor del mercado.
Ahora bien, ¿cómo obtienen los timadores los datos de nuestra tarjeta bancaria? En Maldito Timo no paramos de advertir de algunas de las técnicas que emplean como son el phishing, el smishing y el vishing. Básicamente, consiste en que los ciberdelincuentes se hacen pasar por una institución o empresa en la que confiamos para hacerse con nuestros datos, a través de diferentes medios como el correo electrónico, SMS o llamadas.
También es posible que consigan los datos tras infectar nuestros dispositivos de malware. Por ejemplo, de keyloggers, que son programas informáticos que registran las pulsaciones de tu teclado. Hay otros escenarios posibles, como que hayamos introducido nuestros datos bancarios en una web fraudulenta o que la seguridad de un sitio web haya sido vulnerada y la base de datos de los clientes/usuarios de la misma esté publicada en Internet.
En todo caso, el INCIBE da una serie de recomendaciones que podemos seguir para evitar ser víctimas del carding y proteger nuestros datos bancarios:
- Ignora los mensajes de spam y los correos electrónicos con remitentes que desconoces.
- Nunca proporciones tus datos bancarios por teléfono.
- Mantén actualizados los programas y aplicaciones móviles que utilices habitualmente.
- No uses ordenadores públicos para realizar compras online.
- Cuando estés comprando por Internet, asegúrate que la tienda utiliza una pasarela de pago o acepta métodos de pago seguro.
- Revisa tus operaciones bancarias periódicamente, especialmente en épocas en las que realices más compras online (rebajas, Black Friday, etc.).
- Utiliza las tarjetas monedero o virtuales que te ofrece el banco para realizar pagos.
- Activa el doble factor de autenticación (2FA) para los pagos con tarjeta.
- Desactiva el sistema NFC de tu móvil si no lo usas.
Si has sido víctima de este método de timo, contacta con tu banco cuanto antes y denuncia, aportando todas las pruebas que tengas, ante las Fuerzas y Cuerpos de Seguridad del Estado.
3. Browser-in-the-Browser: ¿Cómo consiguen los timadores imitar las páginas de inicio de sesión de las plataformas?
Imagínate que quieres iniciar sesión en una página web. Normalmente, el sitio te pedirá que te registres con un usuario y una contraseña. Pero existe otra opción con la que no tienes que recordar las credenciales de cada sitio web en el que quieres ingresar: identificarte a través de un servicio como Google o Facebook. Tras hacer clic en un botón, nos aparece una ventana emergente en la que introducir los datos de nuestro correo electrónico o perfil de la red social. Así de simple.Según indica el Instituto Nacional de Ciberseguridad (INCIBE), a este proceso se le conoce como estándar abierto de autenticación (o OAuth) y nos permite unificar el registro de varios sitios bajo una misma cuenta.
Pero ojo, porque si no nos fijamos bien podemos ser víctimas de una técnica conocida como Browser-in-the-Browser (“navegador en el navegador”, en español). Los ciberdelincuentes clonan una página de un servicio online en el que estamos interesados en entrar. No sólo eso, sino que dentro de esa página falsa te dirigen a una ventana emergente de inicio de sesión “haciendo que el usuario crea que es una ventana de inicio de sesión legítima, como las que ya estamos acostumbrados a ver en muchas webs legítimas, e introduzca así sus credenciales”, explica el INCIBE.
El investigador de seguridad mr.d0x (pseudónimo) explica en su blog que crear una ventana emergente que imite a una legítima es bastante sencillo. En la siguiente imagen, vemos una ventana emergente falsa diseñada por él frente a una real. “Muy pocas personas notarían las ligeras diferencias entre las dos”, afirma el investigador.
Si no nos damos cuenta del engaño e introducimos nuestras credenciales, estas llegarán directamente al servidor del ciberdelincuente. El INCIBE señala que existen otros riesgos aparte del robo de nuestro usuario y contraseña. Podrían extorsionarnos, dado que tienen acceso a nuestros datos personales de distintas cuentas de usuario; podrían hacernos cargos económicos utilizando datos bancarios robados e, incluso, podrían suplantarnos la identidad.Para evitar estos peligros, la institución apunta una serie de pistas que nos deberían hacer sospechar:
- Si pinchamos en la opción de iniciar sesión con nuestro correo o perfil en una red social y no se abre una nueva ventana en la barra de tareas.
- Si no nos dejan modificar el tamaño de la ventana emergente que se ha abierto.
- Si intentamos cambiar el contenido que aparece en la barra de direcciones y no es posible.
- Si minimizamos la ventana principal y también desaparece la ventana emergente. El INCIBE indica: “Minimiza la ventana principal del buscador desde la que apareció el formulario de inicio. Si este formulario desaparece simultáneamente al de la pantalla de inicio, entonces se tratará de una ventana fraudulenta. Las ventanas reales continúan siempre en la pantalla”.
- Si arrastramos la ventana emergente fuera del borde del navegador (como se indica en la imagen) y esta no se separa de la ventana principal.
“Una ventana normal cruzaría sin problema, ya que no forma parte de la otra, mientras que una ventana ficticia o maliciosa se quedaría atascada en el interior de la ventana principal, como si formara parte de ella”, afirma el INCIBE.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!