Expertos de la UOC explican cómo identificar la 'ciberestafa del miedo' para no caer en la trampa
Según datos del Instituto Nacional de Ciberseguridad (Incibe), el año pasado casi 60.000 usuarios de España fueron víctimas de un ciberataque. Y, cada vez más, se basan en una estrategia llamada 'scareware', que consiste, básicamente, en meter miedo a la víctima para que haga lo que piden los ciberdelincuentes. Dos expertos de la Universitat Oberta de Catalunya (UOC) nos ayudan a identificar estas estafas y ofrecen una serie de consejos para no caer en ellas.
El 'scareware' es un tipo de ciberataque basado en la ingeniería social cuyo objetivo es engañar al usuario para acceder a su dispositivo y extraer datos.
“El 'scareware' es una ciberestafa basada en un programa malicioso que se hace pasar por otro tipo de programa lícito que hace creer al usuario que su dispositivo necesita alguna actualización o un software especial para poder visualizar algún contenido concreto al que se quiera acceder”, explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universitat Oberta de Catalunya (UOC).
En esta peculiar forma de ciberataque, se utiliza a la propia víctima para que haga el trabajo, ya que "voluntariamente" decide instalar el software malicioso que se encargará de contaminar su dispositivo para robarle datos o dinero. "Se considera un ciberataque basado en ingeniería social. Se busca asustar a la víctima para que actúe rápido sin tiempo para reflexionar", apunta Albert Jové, profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. "La prisa, las amenazas, cualquier cosa que pueda crear angustia es un síntoma que debe hacernos sospechar. También puede ser al revés, una oferta 'irresistible', un premio, etcétera", añade.
"El objetivo directo del scareware es engañar a la persona para poder acceder al ordenador al instalar esa solución que proponen como ayuda. Se podría comparar al phishing, que también trata de engañar a las personas; pero, en este caso, con un programa que nos engaña sobre el mismo ordenador para que instalemos, sin darnos cuenta, otro programa malicioso con el que podrán tener acceso al ordenador para después poder extraer datos e incluso acabar cifrándolo", indica Jové.
La clave del 'scareware' está en la llamada ingeniería social, un conjunto de técnicas que explotan vulnerabilidades psicológicas humanas para manejar al usuario a su antojo.
Desde 2015, alrededor de un millón de personas son víctimas cada día de un ciberataque de tipo 'scareware' en el mundo, según datos de la Weber State University de Utah, en Estados Unidos. Y en el caso español, el Ministerio del Interior, en el 'Informe sobre cibercriminalidad en España de 2023', muestra que el fraude informático es, de largo, el principal delito de esta naturaleza, con cifras que se han duplicado en solo cinco años (2019-2023) y que han pasado de casi 200.000 casos denunciados a más de 425.000, lo que supone el 90,5 % del total.
Para evitar el 'scareware', lo más aconsejable es no dejarse llevar por el miedo o la urgencia y cerciorarse de que la situación es real antes de instalar ningún programa nuevo. Y, siempre, contar con un sistema de seguridad que proteja el dispositivo y permita crear copias de seguridad para evitar perder información en caso de caer en la trampa. "Tener una copia de los archivos y el contenido que queramos conservar es fundamental, ya sea en discos USB o en la nube, pero nunca tener la copia de este contenido en el propio ordenador o conectada siempre a él. Podemos tener un disco USB, pero lo desconectaremos después de guardar las copias de los ficheros, y lo mismo para la nube", aconseja el profesor Jordi Serra.
El papel de la inteligencia artificial
En paralelo, hay que tener en cuenta que estos ciberataques son cada vez más sofisticados, sobre todo por el papel que puede desempeñar la inteligencia artificial (IA) en ellos. "Se podrán generar ataques más directos y mucho más detallados con el uso de la IA, que puede seleccionar aquellos datos más concretos y efectivos a la hora de identificar a una persona y cómo engañarla. Además, ya podemos generar contenido nuevo, como imágenes o audio específico de una persona, si tenemos suficientes datos o conversaciones como para crear una conversación nueva en directo", advierte Serra. Esto obligará a los usuarios a ser más desconfiados al navegar por internet o a usar dispositivos electrónicos, uno de los consejos de ciberseguridad más efectivos.
Sin embargo, ese uso malicioso de la IA también tendrá que enfrentarse al uso de la inteligencia artificial por la propia ciberseguridad. "La IA ahora es parte del problema, pero ya empieza a ser parte de la solución. La inteligencia artificial puede ser, y de hecho ya lo es, una gran herramienta para identificar esos ataques", apunta Albert Jové. Eso no significa que los usuarios puedan descuidar su ciberseguridad por creerse mejor protegidos gracias a la IA, pero es un punto de partida para evitar el 'scareware' y reducir el riesgo de sufrir un ciberataque capaz de tumbar empresas o destruir los dispositivos de usuarios engañados.
