Black Friday: 8 recomendaciones de ciberseguridad para tener en cuenta

Consejos de ciberseguridad para evitar estafas, por Corey Nachreiner, CSO, WatchGuard Technologies

Cada vez que hay un evento importante (un día festivo, una celebración, una tragedia o incluso una venta minorista muy promocionada), los estafadores cibernéticos salen corriendo del circuito, por así decirlo, para tratar de quitarle el dinero que tanto le costó ganar. Gracias a la atención generalizada que generan estos momentos en el tiempo, crean tanto una tapadera conveniente como un señuelo atractivo para tentar a nuevas víctimas.

Los eventos anuales Black Friday y Cyber Monday (BF/CM) que se originaron en los Estados Unidos se han convertido cada vez más en un fenómeno global. Con grandes ventas y ofertas “a la venta” para dar inicio a la temporada de compras navideñas, ven una gran cantidad de transacciones. Por esta razón, debe esperar absolutamente que los ciberdelincuentes se aprovechen de los consumidores frenéticos que esperan encontrar las mejores ofertas de BF/CM, combinando la publicidad aparentemente ininterrumpida de los minoristas con un aumento en sus propias campañas maliciosas.

Si bien nuestro equipo de WatchGuard Threat Lab no espera muchos nuevos ataques exclusivos de Black Friday / Cyber Monday este año, sí anticipamos el regreso de los clásicos. Pero aún debes estar alerta. Año tras año, muchas de estas mismas estafas y tácticas aún logran atrapar nuevas víctimas alrededor del Black Friday y el Cyber Monday:

-Estafas de entrega de paquetes: lo más probable es que haya recibido una de estas notificaciones de entrega falsas en su bandeja de entrada de correo electrónico o aplicaciones de mensajes de texto antes. Vienen en muchas variedades, pretendiendo ser correspondencia legítima de FedEx, UPS u otros transportistas conocidos, que dicen que un paquete no se pudo entregar o afirman tener nueva información sobre el estado o la hora estimada de llegada de un pedido en tránsito. Por supuesto, no existe tal paquete, ni habrá nunca una entrega. En realidad, los mensajes provienen de atacantes oportunistas que se aprovechan del hecho de que muchos de nosotros vemos un aumento en las entregas de paquetes durante la temporada de compras navideñas. Esperan que esté demasiado ocupado o demasiado emocionado por la perspectiva de un regalo para darse cuenta de la mala gramática, los errores ortográficos y la dirección de correo electrónico inusual del remitente antes de hacer clic en el enlace malicioso en el correo electrónico. ¡No lo hagas! Así es como intentan robar sus credenciales y otros datos confidenciales.

-Pedidos falsos: al igual que las entregas falsas, es posible que reciba correos electrónicos que parecen provenir de proveedores conocidos que hablan sobre un pedido que ni siquiera recuerda haber hecho. Si no realizó un pedido, no haga clic en el enlace de ese correo electrónico o mensaje de texto. En su lugar, vaya directamente al sitio web del proveedor o llámelos para verificarlo usted mismo.

-Estafas con tarjetas de regalo: a menudo recomiendo que las personas realicen compras en línea con formas de pago alternativas que no sean sus tarjetas de crédito y débito personales… ¡pero las tarjetas de regalo solicitadas NO son una de ellas! Si algún vendedor le pide que pague con una tarjeta de regalo, indicándole que vaya a comprar una y luego use su número asignado para completar su compra con ellos, huya de ese vendedor. Puede ser sorprendente que esta estafa aún funcione, pero es una excelente manera para que alguien que quiera robarle dinero lo logre mientras permanece bajo el radar de las fuerzas del orden.

-Organizaciones benéficas falsas: ya sea que sea un filántropo, un donante -esporádico o simplemente desee un buen antídoto contra el consumismo elevado, muchas personas aumentan sus donaciones benéficas durante las fiestas. Sin embargo, lo que no es tan agradable son los ladrones vergonzosos que intentan aprovecharse de esto pidiendo dinero a personas bien intencionadas a través de correos electrónicos falsos de caridad. Para asegurarse de que realmente está donando a una causa legítima y digna, asegúrese de verificar los enlaces de donación y verifique que cualquier organización sin fines de lucro de interés sea una organización válida antes de realizar sus contribuciones.

-Sitios web falsificados: esté atento a los sitios de comercio electrónico falsos y/o similares que aparecen durante esta época del año, especialmente aquellos con ofertas que parecen ser “demasiado buenas para dejarlas pasar”. No es difícil para un ciberdelincuente abrir un sitio web disfrazado de tienda en línea; incluso uno protegido por SSL/TLS (el pequeño candado que aparece en su navegador web para indicar un sitio seguro). Puede parecer “oficial”, pero no garantiza que pueda realizar una compra legítima. Si se encuentra en un sitio web desconocido, asegúrese de usar Better Business Bureau (BBB) u otro verificador de reputación en línea para verificar que sea un comerciante legítimo y confiable antes de comprar algo allí.

-Phishing común y corriente: además de las estafas relacionadas con las compras en línea, ciertamente puede esperar una avalancha de correos electrónicos de phishing que inunden su bandeja de entrada alrededor de BF/CM. Si bien recibirá una gran cantidad de correspondencia de proveedores legítimos entre las alertas de ventas navideñas durante este tiempo, asegúrese de estar atento a los falsos que intentan phishing utilizando las tácticas habituales y perennes.

Estafas como estas pueden hacer que algunas personas tengan miedo de comprar en línea, pero usted no tiene por qué tenerlo. Con algunos consejos de sentido común y las mejores prácticas, puede reconocer y evitar la malicia y aprovechar todas las ofertas reales que existen mientras se adelanta a la temporada navideña.

Estos son algunos de mis principales consejos de seguridad para evitar las estafas cibernéticas de BF/CM:

-Tenga cuidado con los enlaces sospechosos: si recibe un enlace o se le remite a un enlace en un correo electrónico extraño y único, verifíquelo siempre antes de hacer clic. En una computadora típica, puede hacer esto al pasar el mouse sobre el enlace para obtener una vista previa de la URL a la que dirige y asegurarse de que sea el dominio real y, lo que es más importante, legítimo, que anuncia. Por ejemplo, si el correo electrónico es de Amazon, debería ver “amazon.com” en la vista previa del dominio, no una variante extrañamente escrita. Los teléfonos móviles no le permiten pasar el mouse sobre los enlaces de esta manera, por lo que para verificar los enlaces en estos dispositivos, a menudo puede mantener presionado un enlace para obtener una vista previa del dominio al que lo enviará antes de tocarlo. Solo asegúrese de que la opción de vista previa de su teléfono esté habilitada primero, o visitará el enlace antes de que lo desee. Mejor aún, no hagas clic en el enlace del mensaje. Visite el sitio de comercio electrónico manualmente. Es probable que la venta sea noticia de primera plana en el sitio del comerciante en este momento de todos modos.

-Use métodos alternativos de pago en línea: no use su tarjeta de crédito o débito normal para realizar compras en línea. Si ingresa accidentalmente esos detalles en un lugar oscuro, el estafador cibernético detrás de esto podría hacerse con más de lo que espera. Servicios como Apple Pay, PayPal, Venmo y Zelle permiten transacciones seguras entre compradores y vendedores al abstraer los detalles reales de la cuenta financiera de los consumidores de los pagos en línea. Obtener una tarjeta de crédito temporal para hacer compras en línea también puede ser una opción más segura, pero tenga cuidado con cualquiera que requiera que pague con, por ejemplo, una tarjeta de regalo Visa…

-Solo compre en sitios web seguros: busque el candado en la esquina superior izquierda de su navegador web. Esto significa que todas sus transacciones hacia y desde ese sitio web están encriptadas. No realice pagos a ningún sitio que no tenga ese bloqueo. Dicho esto, sepa que los delincuentes también pueden crear páginas web seguras. Por lo tanto, no trate el bloqueo como una garantía de un sitio legítimo, sólo utilícelo para descartar sitios con los que no debería realizar transacciones porque no están encriptados.

-Administradores de contraseñas: muchas de estas estafas de compras aún terminan tratando de robar las credenciales de inicio de sesión de los usuarios. Si usa un administrador de contraseñas, el robo de credenciales tiene menos impacto porque no se usa la misma contraseña para todas sus cuentas; y, cuando le roban una credencial de un sitio, puede actualizarla fácilmente mucho más rápido.

-Habilite la autenticación de múltiples o dos factores (MFA/2FA), donde sea compatible: si bien estamos hablando del robo de credenciales, MFA es la mejor manera de protegerse contra él y lo salva, incluso si un atacante obtiene su contraseña. No todos los sitios de comercio electrónico son compatibles con MFA, pero todos los principales, como Amazon, sí lo son. Si el sitio es compatible con 2FA o MFA, debe activarlo y continuar usándolo en el futuro.

-Si suena demasiado bueno para ser verdad, probablemente lo sea. Ya conoces este consejo. Si el trato parece demasiado bueno para ser posible, probablemente tengas razón. Podría ser una estafa. Evítalo.

-Verifique los sitios nuevos utilizando BBB u otros recursos de protección al consumidor. Mencioné esto anteriormente, pero vale la pena señalar nuevamente que los sitios falsos aparecen durante los eventos de compras de temporada. Si está a punto de comprar algo de un sitio nuevo que no ha visitado antes, al menos dedique un minuto a verificar su reputación antes de continuar. En los EE. UU., el Better Business Bureau es un buen lugar para comenzar, pero también puede encontrar otros servicios de verificación de reputación en línea y sitios de revisión de usuarios de referencia.

-Cuidado con la publicidad maliciosa: una nuez de estafa cibernética más difícil de roer es la publicidad maliciosa. Esto es cuando un atacante aprovecha los marcos y servicios publicitarios completamente legítimos para atraer a las personas a enlaces maliciosos o fraudulentos. A veces, los diez primeros resultados de términos de búsqueda de productos populares pueden devolver enlaces generados por publicidad maliciosa que dirigen a sitios que podrían intentar robarle o instalar software malicioso en su dispositivo. En resumen, manténgase escéptico ante los anuncios extraños e intente quedarse con los proveedores que conoce. Si allí ve lo que parece ser una oferta demasiado buena para un producto conocido, consulte la página del producto del proveedor real para verificar su legitimidad. Si ese acuerdo no parece existir en ningún otro lugar, probablemente debería evitar el anuncio que intenta llevarlo a ese sitio por completo.

Al final del día, gran parte de la defensa de seguridad cibernética más efectiva se reduce a usar un sombrero escéptico e inquisitivo y verificar las cosas antes de confiar en ellas. Si sigue estos sencillos consejos de defensa, no debería tener problemas para ahorrar mucho en las ofertas realmente interesantes del Black Friday/Cyber Monday sin sucumbir a ninguna estafa engañosa.-