“En abril, aguas mil”, asegura el dicho, y aunque este año ha destacado por ser especialmente seco lo que no han parado de llover son los timos y las estafas de las que os advertimos en nuestro consultorio mensual de Maldito Timo. Hoy os explicamos cómo los timadores están incluyendo ChatGPT entre sus herramientas para intentar colárnosla y os detallamos en qué consiste el typosquatting, una táctica con la que los timadores se aprovechan de nuestros errores ortográficos. También os damos consejos para bloquear nuestro teléfono por si nos lo roban para hacerse con nuestros datos y nuestro dinero.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Empezamos!
¿Cómo pueden los timadores usar ChatGPT para intentar estafarnos?
La inteligencia artificial (IA) sigue dando que hablar. Por ejemplo, el uso de esta herramienta enfocada a la creación de imágenes poco a poco se está perfeccionando y su implementación en industrias creativas comienza a ser una realidad. Pero esta tecnología aún presenta algunas dudas y problemáticas. No sólo estamos viendo su uso para generar desinformación, sino que ChatGPT (el chatbot conversacional con IA) está siendo investigado por España y varios países de la Unión Europea por un “posible incumplimiento de la normativa” de protección de datos.
Esta tecnología cada vez irrumpe en más campos, y en esta ocasión son los estafadores los que la están añadiendo dentro de su arsenal para llevar a cabo sus estafas. Ya os hemos hablado de cómo los timadores pueden usar la inteligencia artificial para recrear la voz de nuestros seres queridos. Pero también han comenzado a implementar ChatGPT en su flujo de trabajo. Este sistema de chat emplea la inteligencia artificial para poder mantener conversaciones y dar respuesta a todo tipo de preguntas de forma natural y coherente, si bien aún cuenta con algunas limitaciones.
A veces devuelve resultados que no son exactos y comete errores, pero esta herramienta es útil en campos como la redacción de textos o la programación. Por ejemplo, podemos preguntarle a ChatGPT que nos ayude a redactar un párrafo explicando qué es el phishing, o podemos pedirle ayuda para que nos diga cómo crear un enlace directo en HTML, y la máquina nos dirá exactamente cuál es el código que tenemos que introducir para crear este vínculo.
Por supuesto, si le preguntamos directamente a ChatGPT que nos ayude a desarrollar un virus para hacernos con datos bancarios o a hacer cualquier actividad maliciosa, la máquina se niega a cumplir con nuestra petición y nos avisa de estaríamos cometiendo una actividad ilegal, pero hay muchas maneras de saltarse esta restricción.
¿Pero cómo pueden usar los estafadores esta herramienta para perfeccionar sus timos? Carmen Torrijos, lingüista computacional, experta en inteligencia artificial y maldita que nos ha prestado sus superpoderes, explica a Maldita.es que lo que esta herramienta puede aportar al cibercrimen es lo mismo que puede aportar a las profesiones digitales: “Velocidad, inmediatez y automatización”.
Esta herramienta está comenzando a ser usada por los timadores para perfeccionar sus estafas, como puede ser a través de la redacción de emails fraudulentos y phishing que tengan menos faltas de ortografía y sean más coherentes, lo que hace más difícil detectar el engaño. Además, la inteligencia artificial también podría cruzar fuentes de datos hackeadas, con lo que sería capaz de “presentarnos la información de una manera que supuestamente solo nuestra entidad bancaria o nuestra aseguradora podría”, asegura Torrijos.
No es el único proceso en el que se está implementando esta tecnología. Según Carlos Tomás Moro, maldito que nos ha prestado sus superpoderes y experto en ciberseguridad, el cibercrimen cada vez es “una ‘industria’ más profesional”. Por ejemplo, una sola campaña para difundir malware incluye diferentes fases (detectar vulnerabilidades, desarrollar el malware, distribuirlo con mensajes fraudulentos) que podría integrar esta herramienta en su arsenal, como es en el campo de la programación.
Aunque ambos expertos señalan que ChatGPT no es una herramienta específica para generar malware y no es capaz de descubrir nuevas vulnerabilidades, sí que permite a los cibercriminales actuar más rápido y elaborar código en menos tiempo, tal y como hemos explicado en el ejemplo de arriba, donde la máquina nos ha ayudado a hacer un enlace directo a través HTML. También permite hacer más sencilla la automatización de los ataques y encargarse de las tareas más repetitivas.
Hoy en día ChatGPT ya está siendo empleada tanto por los cibercriminales como por las empresas de seguridad. Según una investigación realizada por la empresa de ciberseguridad Check Point los timadores han comenzado a hablar en foros dedicados en Internet sobre las posibilidades de esta herramienta y algunos usos de los que han hecho. Desde la elaboración de textos a la creación de páginas en el mercado negro sin tener grandes conocimientos en lenguajes de programación, pasando por la promoción de contenidos maliciosos, los estafadores detallan cómo ChatGPT les ha sido de ayuda en estas actividades fraudulentas.
Pero Torrijos y Moro coinciden en que el problema no está en la herramienta en sí, sino en el uso fraudulento que le podamos dar. “Es importante ser consciente de que la inteligencia artificial no es en sí misma la causa de la desinformación o la estafa, sino que tiene que haber una intención de cibercrimen detrás”, detalla la experta. “Permite a los cibercriminales actuar más rápido igual que a los profesionales digitales nos permite también trabajar más ágilmente. Son dos caras de la misma moneda”.
Aunque aún no sabemos el impacto que va a tener esta herramienta en la cibercriminalidad, hay una serie de consejos que podemos tener en cuenta para reducir los riesgos de que nos la cuelen:
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la URL de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, presta atención a lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
- No te fíes de un mensaje porque no tenga faltas de ortografía o incoherencias: la inteligencia artificial cada vez hace más fácil que un timador no cometa fallos de redacción o traducción, ya que imita con facilidad y originalidad las conversaciones humanas.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp (+34 644 22 93 19). Si recibes un mensaje sospechoso de una persona cercana, llama al teléfono habitual para comprobar que todo está bien.
- También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.
¿Pueden los timadores aprovecharse de errores ortográficos para timarnos? En qué consiste el ‘typosquatting’
A todos nos ha pasado que con las prisas hemos enviado algún mensaje con faltas de ortografía. El trasiego del día a día nos lleva a hacer las cosas más rápido, y somos más propensos a cometer algún error a la hora de escribir. También tendemos a leer más en diagonal, quedándonos con una idea por encima del texto, y no fijarnos detenidamente en cada una de las palabras que estamos leyendo. Y esto es algo que los timadores saben y que aprovechan para intentar colárnosla.
Sólo hace falta cometer un error a la hora de escribir la dirección de una página web, o no fijarnos bien en la URL en la que entramos (algo de lo que siempre os advertimos) para que los estafadores suplanten la identidad de una compañía o empresa e intenten hacerse con nuestros datos. Y para ello los timadores emplean dominios parecidos a los auténticos, pero con ligeras modificaciones que le dan la apariencia de ser la dirección web legítima.
Esto es lo que se conoce como typosquatting, palabra que surge de la unión de typo (que se traduce como error ortográfico) y squatting (que se traduce como ocupar, en este caso un dominio web). Una táctica de la que ha advertido la Oficina de Seguridad del Internauta (OSI) y con la que los timadores se aprovechan de los errores humanos para estafar a los usuarios.
Para ilustrar un ejemplo, vamos a usar un dominio inventado, “www.paginaejemplo.com”. Si en un error a la hora de escribir tecleamos “www.ejemplopagina.com”, los timadores podrían usar ese dominio y, clonando esta página podría solicitar información como datos personales o bancarios. Aplicando este principio, hay diversas posibilidades, como cambiar la terminación del dominio (www.paginaejemplo.es), cambiar alguna letra (www.pagimaejemplo.com) o añadir algún subdominio (www.paginaejem.plo.com). También es habitual intercambiar caracteres parecidos, como un “o” por un “0” o “I” por “l”
Al introducir una URL con alguna de estas faltas de ortografía, en lugar del típico error de que la página no ha podido ser encontrada, los timadores podrían haber registrado un dominio que contenga estos errores tipográficos. Por lo que el usuario podría no darse cuenta de que en realidad se encuentra en una página fraudulenta.
Desde Maldita.es os hemos dado diferentes recomendaciones para detectar si una página es segura, pero para no caer en este timo, ESET también da una serie de consejos sobre cómo protegernos ante el typosquatting:
- Ten cuidado con las URL mal escritas y los caracteres ambiguos: fíjate siempre en que hayas escrito la dirección de forma adecuada, ten cuidado al copiar y pegar una URL o al acceder directamente a una página web, y siempre verifica que te encuentras en la web correcta.
- Comprueba si un sitio web es malicioso: en caso de duda lo mejor es comprobar si nos encontramos ante una página web legítima. Google ofrece herramientas como el Estado del sitio de Navegación segura, donde podemos introducir una dirección web para ver si es legítima, y en navegadores como Chrome se puede ver (tanto en dispositivos móviles como en PC) información sobre la página y si ha sido marcada como sospechosa.
- Sospecha aunque parezca el protocolo HTTPS, marcado con el símbolo de un candado. Este icono sólo significa que la comunicación está encriptada y no pueden acceder terceras personas, pero no evitará que los timadores puedan usar tus datos personales y bancarios si se los entregas.
- Busca la información de contacto y la política de privacidad: las webs legítimas ofrecen información de contacto para sus clientes y tienen que obedecer las leyes de protección de datos. Así que, si no aparecen estos elementos, sospecha.
¿Pueden hacerse con mi dinero si me roban el móvil? Cómo proteger mejor nuestros ‘smartphones’
La aplicación del banco, las redes sociales, nuestras imágenes y vídeos… Cada vez tendemos más a llevar toda nuestra vida digital con nosotros a través de nuestro smartphone. Este dispositivo nos acompaña a todas partes, y no son pocas las personas que prescinden de un ordenador para realizar cualquier trámite o gestión, ya que nuestro teléfono móvil ya alberga todos nuestros datos personales. Pero mucho cuidado, porque esto es algo que los timadores saben y aprovechan para llevar a cabo sus estafas.
Estamos hablando del robo del teléfono móvil. Si antes los ladrones buscaban hacerse con estos dispositivos para después venderlos, ahora nuestros smartphones se han convertido en una puerta de entrada a nuestra identidad digital con la que pueden hacerse con nuestro dinero. Así lo recogen varios artículos del The Wall Street Journal y El País, que muestran cómo los timadores han visto en nuestros móviles una oportunidad para conseguir dinero.
Es el caso de Rehyan Ayas, una economista estadounidense que después de ser víctima del robo de su iPhone perdió el acceso a su cuenta de Apple junto a todos sus contactos, fotografías y notas. Pero no solo eso, sino que los ladrones retiraron 10.000 dólares de su cuenta corriente en apenas 24 horas. Su caso no es el único, según asegura The Wall Street Journal.
La clave para que los estafadores se hicieran con el control de las cuentas y la vida digital de Reyhan Ayas se encuentra en la seguridad del dispositivo y en cómo estaba bloqueado. Los timadores fueron capaces de hacerse con los datos de sus víctimas porque obtuvieron el pin numérico, una sencilla combinación de números con el que desbloquear el teléfono móvil. Para ello no emplearon ningún malware o virus, sino que simplemente se fijaron en cómo la economista introducía el pin de su dispositivo mientras se encontraba en un bar, momentos antes de que se produjera el robo.
Una vez que los timadores tuvieron acceso al dispositivo pudieron hacerse con todos los datos de la economista, cambiar la contraseña de Apple ID (la cuenta con la que acceder a los servicios de Apple, entre los que se encuentra la aplicación de pagos Apple Pay) y denegar el acceso a la cuenta desde otros dispositivos y la geolocalización del móvil. Un sistema parecido al del ecosistema Google, que cuenta con aplicaciones como Google Pay para hacer compras. Una vez dentro del dispositivo, los timadores también pueden acceder a las aplicaciones y métodos de verificación en dos pasos (como los mensajes de texto o llamadas de teléfono), con las que usar otros servicios.
La clave para que los timadores se hicieran con la vida digital y con el dinero de Reyhan Ayas está en la seguridad de ese pin numérico, puerta de entrada para todos nuestros datos. Los móviles ofrecen la posibilidad de desbloquear el dispositivo con una contraseña de varios dígitos o un patrón, métodos muy fáciles de obtener por otra persona a simple vista o si ha puesto cámaras en los alrededores que nos graben a la hora de acceder a nuestro smartphone (una táctica empleada en otros timos para obtener nuestros datos bancarios, como el skimming).
Aunque estos métodos de desbloqueo son más cómodos para acceder a nuestro móvil rápidamente, suponen un riesgo para la seguridad debido a su sencillez. Desde Maldita.es ya os hemos hablado de los diferentes métodos que tenemos para desbloquear nuestro teléfono, y que medidas podemos tomar. El Instituto Nacional de Ciberseguridad (INCIBE) también da una serie de consejos para que nuestros dispositivos estén más seguros.
Si sospechamos que nos han robado el teléfono, INCIBE ha elaborado una serie de medidas que debemos tomar, como intentar localizar el dispositivo, bloquearlo y borrar los datos de forma remota, ponernos en contacto con nuestro operador telefónico y presentar denuncia ante las autoridades.
A continuación, recogemos varias recomendaciones que podemos tener en cuenta para protegernos de este tipo de estafas:
- Habilita el bloqueo de pantalla: configura siempre el sistema de bloqueo de pantalla para que los desconocidos no puedan acceder a tu teléfono. Si está opción no está habilitada, puedes encontrarla en la sección de ajustes de tu dispositivo, ya sea Android o Apple.
- Una contraseña con números y letras es la opción más segura: los métodos comunes como el pin numérico o el patrón son muy simples y puede que los timadores se hagan con ellos de un simple vistazo. Una contraseña permite muchas más combinaciones posibles, lo que la hace la opción más segura.
- Intenta no repetir contraseñas entre sistemas y crea claves que sean difíciles de adivinar, pero fáciles de recordar: aunque las fechas, números de portal o determinadas palabras sean fáciles de recordar, también son fáciles de adivinar. Una contraseña segura está formada por 8 caracteres, incluyendo números, mayúsculas y caracteres especiales. Puedes usar una regla mnemotécnica para recordarlas, como una frase. Por ejemplo, la oración “El 8 de marzo vi a Rosalía en concierto”, podría agruparse en “E8dMvaRec”.
- Activa las funciones de localización, de bloqueo y borrado de datos remoto: si nos han sustraído el teléfono o si solamente hemos perdido el teléfono, seremos capaces de encontrarlo a través de la función de geolocalización. También podemos activar aplicaciones que bloqueen el dispositivo de forma remota o incluso borren toda la información de su interior, en caso de que sea necesario.
- Limita los intentos de bloqueo del dispositivo: también podemos limitar el número de intentos a la hora de desbloquear nuestro teléfono para que los timadores no accedan por la fuerza bruta (es decir, usando programas que prueben todas las combinaciones de contraseñas posibles). En el más drástico de los casos, podemos configurar nuestro teléfono para que se formatee tras un determinado número de intentos.
En este artículo han colaborado con sus superpoderes la maldita Carmen Torrijos y el maldito Carlos Tomás Moro.
Carmen Torrijos forma parte de Superpoderosas, un proyecto de Maldita.es en colaboración con FECYT que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 25/04/2023
