Mientras la necesidad crece, los fraudes aumentan. Debido a la pandemia de COVID-19 las extorsiones y engaños crecen aceleradamente en México y el mundo, usando las redes sociales y el ciberespacio como un territorio fértil en el que rara vez son castigados.
El 15 de enero pasado, la Secretaría de Seguridad Ciudadana de la Ciudad de México detectó un sitio web que usurpaba la identidad del Laboratorio Médico del Chopo y en el que se promocionaba la venta de vacunas anticovid.
En el sitio www.vacunación.elchopo.mx se les ofrecía a los usuarios la venta de una supuesta dosis de la vacuna de Pfizer contra el COVID-19 a 3 mil pesos. Para realizar la compra, se solicitaba previamente llenar una ficha con el nombre completo, dirección, número de teléfono y correo electrónico del interesado.
Después, se informaba que vía correo electrónico se enviaría un enlace para activar la cuenta en el supuesto laboratorio, agendar la cita y se darían los datos para realizar el pago.
Con la promesa de que al registrarse y adquirir una vacuna, el usuario podría asegurar más dosis para su familia, el sitio estuvo operando varias semanas en la impunidad hasta que fue cancelado por la intervención de la Policía Cibernética de la SSC capitalina.
Debido a esto, el subsecretario de Prevención y Promoción de la Salud, Hugo López-Gatell, recordó que las únicas vacunas que se aplican en México son las que adquirió el Gobierno federal.
“Ningún laboratorio en todo el país tiene disponibles vacunas contra #COVID19. Cualquier entidad privada que en este momento asegure tener la vacuna y le pida registrarse, está incurriendo en un fraude. En México no hay vacunas distintas a las que aplica el Gobierno de México”, escribió recientemente en su cuenta de Twitter.
Además, Pfizer México informó que su vacuna se suministrará exclusivamente conforme al Plan Nacional de Vacunación presentado por las autoridades federales.
“La vacuna de Pfizer/BioNTech para COVID-19 no está a la venta en ningún canal privado por el momento. Hemos detectado algunos sitios y números telefónicos que no pertenecen a Pfizer donde terceros ofrecen a la venta la vacuna. Esta información es falsa”, alertó la farmacéutica.
Como este caso han surgido miles. De acuerdo a un análisis realizado a nivel mundial por el proveedor de soluciones de seguridad Check Point Software Technologies Ltd., en los primeros meses de la pandemia se registraron más de 22 mil dominios relacionados con el COVID-19 que aseguraban vender equipos de protección, desinfectantes, medicamentos para el tratamiento del virus y recientemente vacunas. El 17 por ciento de ellos, concluyó la empresa de ciberseguridad, eran maliciosos o sospechosos.
El ritmo con el que avanzan los criminales es más veloz que el de los contagios del SARS-CoV-2, Google informó que en solo una semana detectó más de 18 millones de correos electrónicos de malware y phishing relacionados con estafas de COVID-19 que se enviaban solo a través de Gmail. Además contabilizó 240 millones de casos de spam diario relacionados con la pandemia.
El engaño para robar datos y cometer fraudes
El phishing es la práctica de engañar a las personas haciéndose pasar por una empresa o servicio de confianza para que compartan información confidencial como contraseñas, datos personales e información bancaria, igual al caso del apócrifo Laboratorio del Chopo.
De acuerdo con el Informe de Investigaciones de Violación de Datos de la telefónica Verizon, el phishing estuvo presente en el 32 por ciento de las filtraciones de datos corporativos y en el 78 por ciento de incidentes relacionados con el ciberespionaje.
La misma Organización Mundial de la Salud (OMS) alertó por un correo electrónico malicioso que se envió desde su dominio oficial who.int con el asunto “Carta urgente de la OMS: Primera prueba de vacuna humana COVID-19 / actualización de resultados” para atraer a las víctimas.
Los correos tenían un archivo adjunto llamado “xerox_scan_covid-19_urgent information letter. xlxs.exe” que contenía el malware (software malicioso) AgentTesla. Las víctimas que hicieron clic en el archivo terminaron descargándolo, vulnerando su seguridad e infectando sus equipos.
El 30 por ciento de los delitos de phishing durante el año pasado están relacionados con el COVID-19. Este delito representa el 80 por ciento de los ataques de ciberseguridad, informó la empresa Appgate.
Otro de los ilícitos que aumentó durante la pandemia es el robo de credenciales, es decir la extracción mediante hackeo de los nombres de usuarios y contraseñas de alguna empresa. El año pasado, se detectaron 3 mil 950 filtraciones de datos, alrededor del 80 por ciento ocurrió debido a credenciales robadas, lo que dio un costo promedio de 3.86 millones de dólares por filtración.
Por la multiplicacion en el uso de plataformas digitales como Zoom, los delitos digitales, además de los fraudes, también muestran un incremento. El año pasado se reportó la filtración de 500 mil credenciales del gigante de los videochats.
“Durante el 2020 el mundo se paralizó, lo que hemos visto respecto al fraude es que si bien venía avanzando antes de la pandemia, el simple hecho de estar encerrados y consumir servicios digitales, nos vimos expuestos a nuevas modalidades de fraudes.
“La pandemia cambió drásticamente los modos en los que la gente estaba acostumbrada a trabajar y realizar negocios. Magnificó significativamente la dependencia en tecnología y cómo la gente interactúa con las plataformas digitales. Adaptarse a una nueva normalidad significó que las organizaciones se enfrentaron a una serie de desafíos únicos”, comenta David López, vicepresidente de Ventas para Latinoamérica de Appgate.
Finalmente, el especialista en ciberseguridad comenta que las estrategias de seguridad tradicionales ya no son efectivas para combatir el aumento de ciberataques por lo que se debe de invertir en nuevas tecnologías y visibilizar el problema.
“Las empresas tendrán que implementar métodos inteligentes de protección multicapa contra los fraudes y que se adapten continuamente a las nuevas y avanzadas amenazas. Un elemento fundamental para prevenir los ataques y proteger a las organizaciones es la visibilidad, por lo que entender cuándo y cómo una empresa fue comprometida resulta fundamental para disminuir los efectos del ataque.