MENÚ

Por qué los ataques de 'phishing' pueden incluir tu nombre: los ciberdelincuentes se hacen con bases de datos personales de los usuarios

Publicado
Comparte

Sandra, una lectora de Maldita.es, recibió un SMS sospechoso, supuestamente de parte de Mediamarkt, en el que le anunciaban que había ganado un premio. Ya os alertamos de que este mensaje no era de la tienda de electrodomésticos, sino un intento de phishing. No obstante, el SMS fraudulento tiene un detalle que llama la atención: incluye el nombre y los apellidos de la receptora. Es más, si Sandra hacía clic en el enlace, este le redirigía a una web fraudulenta en la que también aparecían su nombre completo y su número de teléfono. Pero, ¿cómo es esto posible?

Captura del SMS fraudulento que recibió la usuaria y la web a la que redirigía

Walter Verdejo, especialista en servicios de almacenamiento en línea y maldito que nos ha prestado sus superpoderes, explica que esto sucede porque alguien ha obtenido “legalmente o no” una base de datos con algunos de nuestros datos personales. El experto indica que cualquier programa de envío masivo de correos o SMS “acepta subir una hoja de Excel o un archivo en formato csv” y enviar un mensaje personalizado a cada persona de esa base de datos.

Cómo los ciberdelincuentes pueden obtener una base de datos personales

Los timadores pueden haber obtenido esa base de datos de varias formas. Por ejemplo, porque los datos personales de los clientes de una empresa se han visto comprometidos y puede que los ciberdelincuentes los hayan comprado en el mercado negro de la Dark Web.

También es posible que nos lleguen ataques de phishing dirigidos con nuestro nombre porque el dispositivo de alguno de nuestros contactos ha sido infectado con malware. Es el caso de los falsos SMS de Fedex que te invitaban a descargarte una supuesta aplicación de rastreo de tu paquete, con el objetivo de instalar un virus en tu móvil. La Policía Nacional advirtió de que en estos mensajes de texto fraudulentos podía aparecer tu nombre porque había sido “robado” de la agenda de un teléfono anteriormente infectado por el virus. Piensa que muchas aplicaciones nos piden que activemos permisos que dan acceso a diferentes funciones de nuestro teléfono, y uno de ellos es el acceso a nuestros contactos.

Susana Regalado, experta en ciberseguridad y también maldita, apunta que la mayoría de las veces somos nosotros mismos los que facilitamos nuestros datos personales (aunque sea sin darnos cuenta). Por ejemplo, en Maldita.es os contamos el caso de Nuria, una lectora que cayó en una falsa oferta de sartenes Tefal de Carrefour. Tras introducir sus datos personales en una web fraudulenta, recibió un falso SMS de Correos en el que se incluía su nombre y que la invitaba a pinchar en un enlace sospechoso.

Captura del SMS que le llegó a Nuria y de las páginas a las que dirigía el enlace del mensaje de texto

Una fuga de datos, un dispositivo infectado de alguno de nuestros contactos, nuestros propios descuidos… Los motivos por los que nuestros datos personales se pueden ver comprometidos son muchos. El Instituto Nacional de Ciberseguridad (INCIBE) plantea otras posibilidades, como que cedamos datos a sitios web que se alojan en países en los que no se aplica el Reglamento General de Protección de Datos (RGPD) “y que ello derive en la cesión a terceros de manera no controlada”. También nuestros datos personales se pueden ver comprometidos a través de técnicas como el sniffing (robo de datos durante el uso de redes wifi públicas que no están protegidas), el uso de spyware (software que se dedica a capturar datos a través de diferentes vías) o, incluso, “debilidades relacionadas con el Bluetooth”, afirma el INCIBE.

“El oro de nuestros tiempos son nuestros datos, nosotros somos la mercancía más valiosa. Por eso, hay que estar muy atentos de qué datos facilitamos y a quién”, recomienda Regalado.

En este artículo han colaborado con sus superpoderes los malditos Walter Verdejo y Susana Regalado.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.