Ya estamos otra vez en esa época del año: se acercan las fiestas y, por desgracia, también las estafas. El año pasado, el informe anual sobre ciberdelincuencia del Internet Crime Complaint Center (IC3) del FBI, informó de que casi 12 000 personas fueron víctimas de estafas navideñas, que ocasionaron pérdidas superiores a 73 millones de dólares.
En este artículo de blog, analizaremos algunos de los temas y tácticas de phishing más comunes que se utilizan para atacar a los usuarios durante esta temporada festiva. Esto le permitirá proteger a sus empleados y su empresa de la ciberdelincuencia ahora que el año se acerca a su fin.
4 estafas navideñas basadas en IA
Las amenazas basadas en IA son muy parecidas a las que vemos todas las fiestas de fin de año. La principal diferencia es que son más sofisticadas y difíciles de detectar. Así que esté atento a estas cuatro estafas frecuentes:
1: Estafas de compras
Aunque puede resultar tentador aprovechar ofertas por tiempo limitado y descuentos especiales, esta urgencia puede convertirse en una debilidad que aprovechen los ciberdelincuentes. Una forma de hacerlo es dirigiendo a las víctimas a sitios web de phishing que ofrecen artículos de lujo, electrónica o marcas de ropa populares a precios sospechosamente bajos. En los últimos años, los investigadores de amenazas han visto cómo los ciberdelincuentes registraban miles de dominios de impostor de conocidas marcas mundiales para posteriormente utilizarlos en campañas de phishing a gran escala.
La llegada de la IA generativa (GenAI) ha convertido en un juego de niños la creación de tiendas online convincentes y falsas. Antes, generar herramientas que facilitaran el fraude podía llevar horas. Con la IA generativa, es cuestión de segundos. Estos sitios falsos incluyen logotipos robados, dominios parecidos y diseños sofisticados que imitan a las tiendas legítimas.
Las víctimas que envían un pago a estos sitios de venta falsos reciben artículos falsificados o simplemente no reciben nada. Lo peor es que, sin saberlo, entregan su información personal, incluidos los números de las tarjetas de crédito, a los ciberdelincuentes.
Plantilla de phishing de estafa de compras de Amazon incluida en ZenGuide de Proofpoint, basada en un ataque real.
2: Estafas de envío
Al igual que las ofertas relámpago crean urgencia, las actualizaciones de envío son otro tipo de notificación que la gente no suele ignorar. Cuando se percibe un problema con un envío, la mayoría de la gente actúa de inmediato.
Los estafadores saben explotar la psicología humana. Y esto es especialmente así cuando se trata de manipular a la gente a través del miedo. Suelen utilizar el correo electrónico o los SMS para hacerse pasar por empresas de transporte de confianza como UPS, FedEx, DHL o Correos. Estas estafas suelen consistir en fallos en la entrega, información de entrega incompleta, paquetes perdidos o paquetes supuestamente retenidos a la espera de pago.
En los últimos tiempos, los atacantes han modernizado sus tácticas para incluir los códigos QR como herramientas de phishing. En lugar de incrustar URL maliciosas directamente, incluyen códigos QR que las víctimas deben escanear. Esta técnica emergente, conocida como phishing mediante códigos QR o quishing, ha ganado adeptos en parte debido a la adopción generalizada de códigos QR durante la pandemia de COVID-19.
Plantilla de phishing de estafa de envío de DHL incluida en ZenGuide de Proofpoint, basada en un ataque real.
3: Estafas de viajes
Durante las vacaciones, son muchas las personas que buscan vuelos asequibles y ofertas hoteleras. Los ciberdelincuentes aprovechan esta circunstancia para crear sitios falsos de reservas de viajes que ofrecen precios irresistiblemente bajos.
En un caso habitual, los estafadores crean sitios web que imitan a conocidas agencias de viajes online. En uno de estos sitios web, se ofrecía a las víctimas ofertas de paquetes aparentemente increíbles. Si caen en estas trampas, normalmente acabarán pagando más del precio anunciado, o recibirán reservas inválidas sin posibilidad de reembolso.
Plantilla de phishing de estafa de viajes de Expedia incluida en ZenGuide de Proofpoint, basada en un ataque real.
El auge de la IA ha llevado la sofisticación de estas estafas a un nivel superior. Los ciberdelincuentes utilizan ahora IA generativa para crear señuelos de phishing convincentes en varios idiomas. Si bien antes era relativamente fácil detectar los mensajes de correo electrónico fraudulentos por su mala gramática y errores ortográficos, ya no es así. Los ciberdelincuentes pueden ahora superar fácilmente las barreras lingüísticas y culturales.
Imaginemos que un ciberdelincuente, que no habla alemán, quiere llevar a cabo una estafa de viajes dirigida a personas de habla alemana. Las herramientas de IA permiten crear mensajes de correo electrónico gramaticalmente correctos y visualmente convincentes, que suplantan la identidad de cualquier importante aerolínea alemana. Estos mensajes incorporan elementos clave, como logotipos, imágenes de alta calidad y un lenguaje gramaticalmente preciso, que los hacen parecer completamente legítimos.
Plantilla de phishing de estafa de viajes incluida en ZenGuide de Proofpoint, basada en un ataque real.
4: Estafas benéficas
Tal vez uno de los fraudes más preocupantes desde el punto de vista ético sean las estafas benéficas. Los estafadores saben que la gente suele ser más generosa durante las fiestas navideñas, así que aprovechan su generosidad para aprovecharse de ellos. No solo roban dinero, sino también información personal para el robo de identidad.
Una estrategia habitual es crear organizaciones falsas para aprovecharse de la buena voluntad de las personas. Varios organismos gubernamentales, como la Agencia Tributaria y la FTC, han advertido sobre la necesidad de desconfiar de las organizaciones que se niegan a proporcionar información detallada sobre su identidad. Otra señal de alarma es la presión para realizar una donación de manera inmediata. Recuerde: las organizaciones benéficas legítimas aceptan donaciones en cualquier momento y son completamente transparentes en sus operaciones.
Una situación habitual son las campañas fraudulentas de donación de juguetes. En un primer momento, se pide a las víctimas que faciliten información personal. A continuación, se les presiona para que faciliten los datos de sus tarjetas de crédito o realicen transferencias bancarias a cuentas fraudulentas.
Plantilla de phishing de estafa benéfica incluida en ZenGuide de Proofpoint, basada en un ataque real.
Consejos para estar protegido estas fiestas
La IA generativa disminuye la barrera de entrada para los ciberdelincuentes, lo que aumenta tanto la sofisticación como la escalabilidad de sus estafas de phishing. Sin embargo, las amenazas impulsadas por la IA no han aportado ninguna capacidad que no estuviera ya presente en el panorama de las ciberamenazas. Por lo tanto, las directrices generales para mantenerse seguro siguen siendo las mismas.
A continuación se incluyen algunos consejos para evitar las estafas durante estas fiestas. Compártalos con sus empleados y compañeros de trabajo para ayudarles a identificar y evitar las estafas navideñas impulsadas por IA:
- Cuidado con las ofertas que parecen demasiado buenas para ser verdad.
- Acceda directamente a los sitios web oficiales de las tiendas online; no haga clic en enlaces incrustados.
- Tenga cuidado con los mensajes que insistan para que actúe de forma inmediata.
- Verifique las identidades de los remitentes a través de canales alternativos.
- Pase siempre el ratón por encima de las direcciones de correo electrónico para ver la información completa del remitente y detectar cualquier suplantación del nombre de usuario.
- Céntrese en la intención del mensaje más que en su gramática u ortografía, ya que estas señales de alarma tradicionales son ahora mucho menos confiables.
- Active la autenticación de dos factores siempre que sea posible.
Su regalo navideño gratuito
Le presentamos un regalo de seguridad de Proofpoint: nuestro Kit Felices Fiestas para alegrarle las vacaciones. Ofrecemos cuatro semanas de contenido recomendado para impulsar sus iniciativas de concienciación en materia de seguridad:
- Semana 1: Aprenda los fundamentos para realizar compras seguras
- Semana 2: Reconozca los mensajes de phishing sobre viajes
- Semana 3: Identifique las estafas que piden ayuda
- Semana 4: Cierre la campaña con un juego de palabras estilo ad-lib