Tecnología

Scraping: ¿qué es y cómo funciona la última estafa de las redes?

Los ciberdelincuentes tienen cada vez más estrategias para robar los datos y así extraer dinero de los usuarios de la red; el scraping involucra a los bancos.

ciberdelincuentes
Foto: Shutterstock


La empresa de ciberseguridad ESET alertó sobre una nueva modalidad de estafa detectada entre los seguidores de las redes sociales de los bancos. La modalidad intenta engañar a los usuarios para que entreguen claves de acceso online, acepten préstamos y transfieran dinero.

En este tipo de estafas la mayoría de los usuarios de redes sociales siguen a una institución financiera cuando necesitan enviar un mensaje privado para realizar algún reclamo o consulta; el problema es que son contactados desde una cuenta falsa.

El término que se usa para describir este engaño es scraping (o raspado, en inglés) que se aprovecha desde los likes que se dan en las redes sociales hasta la lista de seguidores y seguidos.

Según explicó la compañía ESET, si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.

“El scraping o web scraping es una técnica para extraer todo tipo de datos interesantes de cualquier página y de todos sus enlaces, incluyendo la información de todos los seguidores y contactos en el caso de redes sociales. Esto generalmente se hace de manera automatizada”, explicó José Luis López, director de ESET en Uruguay, al diario El País.

Desde el punto de vista técnico, “los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras; minutos más tarde corren nuevamente ese script y comparan ambas listas para identificar los usuarios nuevos. De forma automática un ‘bot’, desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos”.

¿Cuál es la diferencia con el phishing o el vishing?

Las estafas virtuales que han surgido en los últimos tiempos son varias: ellas son el phishing, el vishing y, ahora, el scraping. “El phishing es la técnica de ‘pescar’ incautos, suplantando la identidad de usuarios y empresas legítimas (el clásico ‘hacerse pasar por’), generalmente a través de un correo electrónico. Cuando se usan mensajes de texto (SMS) a esta técnica se le suele llamar smishing”, indicó López.

Y aclaró el otro término: “El vishing es muy similar al phishing con la salvedad que se utiliza la voz (por ejemplo, una llamada telefónica o un mensaje que se hace pasar por la llamada legítima de una empresa o persona)”.

¿Para qué los ciberdelincuentes buscan acercarse a sus víctimas a través de estas técnicas? La razón es que a través de los datos y credenciales se puede acceder a información sensible o cuentas bancarias de las víctimas.

“Lo que obtienen los cibercriminales con estas técnicas es mucho dinero, ya que acceden a tarjetas de crédito, credenciales de inicio de sesión de cuentas bancarias o de sitios de pago. También secuestran y piden rescate por cuentas de usuarios y empresas o usan estas cuentas robadas para lanzar otro tipo de ataque más profundo a empresas. La mayoría de los grandes ataques de ransomware (con el cifrado de toda la información), se ha iniciado con el robo de las contraseñas de un correo electrónico con técnicas de phishing”, remarcó el especialista en ciberseguridad.

¿Cómo protegerse?

A pesar de las advertencias de las organizaciones y especialistas, las estafas digitales son frecuentes porque muchas personas aún caen en ellas.

“Este tipo de estafas siempre apuntan al usuario desprevenido, al que no toma conciencia de que en internet, no todos son quienes dicen ser, y termina haciendo clic en enlaces o adjuntos que no solicitó o cree en la información que se le presenta sin confirmarlo antes. Por supuesto, nunca se debe hacer esto último respondiendo al mismo mensaje o mail recibido. Se debe constatar la información por otros medios de contacto, por ejemplo llamando a la persona o a la empresa ‘real’”, subrayó López.

Para el especialista en ciberseguridad la primera regla para no ser víctima de este tipo de delitos es desconfiar como si lo hiciéramos en el mundo real.
Además, señaló que “el consejo más básico para no caer en estas trampas, es el de nunca ingresar nuestros datos de inicio de sesión directamente en los enlaces recibidos. Tampoco debemos hacer clic o descargar adjuntos no solicitados sin comprobar antes que esa persona o institución realmente nos envía ese archivo”.

Y concluyó: “¿Alguien confiaría en cualquier persona que nos cruza en la calle y nos pide los datos de nuestra tarjeta de crédito para ‘ayudarnos’ a realizar un pago o retiro de dinero?”

¿Cómo se previene un ataque de ramsonware?

Los ataques de ransomware abundan en el mundo de la ciberseguridad y no solo apuntan a grandes empresas u organizaciones sino también municipios y empresas pequeñas.

A través de estos ataques, los ciberdelincuentes capturan los equipos de sus víctimas y piden un rescate económico a cambio de liberar la información.
Para no pagar cifras millonarias ESET aconseja lo siguiente:

1- Contar con copias de seguridad: Las empresas suelen darse cuenta que no han hecho el backup necesario, una vez que ya fueron víctimas de los ciberdelincuentes.

2- Saber cómo restaurar las copias de seguridad: conocer cómo esos respaldos funcionan y pueden activarse es necesario para volver al trabajo rápidamente.

3- Asegurarse de que las copias de seguridad en la nube funcionen: Si bien es conveniente realizar backup en la nube, su restauración puede resultar en un proceso lento especialmente al tratarse de grandes volúmenes.

4- Estar preparado para la restauración: Hasta que se realiza el proceso de restauración a partir de una copia de seguridad, no se sabe si se realizó correctamente o no. Por eso es necesario estar preparado para contratiempos.

5- Contar con un plan: Se debería tener un plan o estrategia para saber qué hacer en caso de que ocurra un ataque de ransomware, por ejemplo, decidir si eventualmente se pagaría un rescate o no.

Tips para protegerse

Los especialistas en ciberseguridad insisten en que las diferentes estafas que apuntan a particulares se aprovechan de los descuidos que se tienen en la red.

Tener contraseñas iguales para todas nuestras redes o incluso cuentas bancarias, guardar los datos de inicio de sesión, usar redes poco seguras o equipos compartidos son algunas de las formas en las que somos vulnerables en la red.

Algunas recetas sencillas para aplicar y ser menos vulnerable es cambiar las contraseñas cada tres meses; utilizar combinaciones alfanuméricas que además incluyan símbolos y mayúsculas; y bajo ningún concepto compartir información sensible a través de chats.

Reportar error
Enviado
Error
Reportar error
Temas relacionados