En la mente de los estafadores de internet: Kristen, analista de Confianza y Seguridad

Kristen se dedica a analizar datos del mundo real para entender el phishing y elaborar perfiles de conducta de los ciberestafadores. En su día a día, es importante ponerse en la piel de los estafadores para anticipar sus próximos pasos y proteger mejor a los clientes de N26. Con ella, descubrimos las últimas tendencias en estafas online y las mejores formas de preservar nuestra seguridad en internet.

Kristen, eres parte del equipo de Trust & Safety de N26, que actúa como “agencia de inteligencia” para los equipos que trabajan en la seguridad del cliente. ¿Puedes explicarnos en qué consiste tu labor?

Soy analista de Trust & Safety especializada en estafas de phishing y usurpación de cuentas en N26. En otras palabras, me dedico a identificar e investigar nuevas tendencias de phishing y de otras estafas en todo el mundo, incluso aquellas en las que los estafadores obtienen acceso a las cuentas de los clientes. Además, elaboro perfiles de conducta de los estafadores, para lo cual recurro a mi experiencia en el campo de la psicología. Básicamente, analizo cómo piensan y se comportan los estafadores, y examino sus formas de manipular a las personas para que les den información o acceso a sus cuentas online.

Toda esta información se utiliza para hacer que la app y los servicios de N26 sean aún más seguros, basándonos en datos de la vida real. Todos estos datos también nos sirven para formar contínuamente a nuestros empleados y, cómo no, a todos los clientes de N26.

El fraude online se ha incrementado desde la pandemia, cuando la gente empezó a hacer cada vez más parte de su vida en la esfera digital. ¿Cuál crees que es el problema más importante que la gente debe conocer?

Los ataques de phishing han experimentado un enorme auge desde el pasado año 2020, debido, claramente, al aumento de la actividad en internet. Pero ese no es el único motivo. La mayoría de las personas asocian el phishing con correos electrónicos mal formateados que les animan a pulsar en un enlace y compartir datos personales (por ejemplo, para desbloquear una cuenta de cliente supuestamente expuesta). Pero el phishing abarca mucho más que eso. Muchas estafas de phishing se basan en la manipulación emocional y, por eso mismo, surten mejor efecto en tiempos de crisis, ya que es cuando la gente está más receptiva y, por tanto, más susceptible y vulnerable.

Se ha desarrollado toda una industria en torno al phishing y, por eso, los ataques son cada vez más profesionales. Los timadores pueden comprar kits de phishing en la dark web, que se emplean para crear modelos para campañas de «éxito». También hay disponibles bases de datos de clientes expuestos o incluso guiones para realizar llamadas, como en el telemarketing. El phishing telefónico, denominado vishing, está aumentando considerablemente, ya que una conversación personal suele generar más confianza que un correo anónimo y resulta más eficaz. Así es la naturaleza humana.

Desde el punto de vista técnico, los estafadores ahora tienen posibilidades totalmente distintas de las que tenían hace unos años. Ya no cuesta tanto falsificar un número de teléfono auténtico, es decir, hacer que el identificador de llamadas muestre un número que parece auténtico para generar confianza. Los timadores también pueden utilizar parte de los datos personales de la víctima, como su nombre o número de cuenta bancaria, que pueden haber comprado en la dark web, por lo que resulta complicado identificar una llamada fraudulenta.

Dices que las situaciones de crisis son el clima ideal para los estafadores. ¿Por qué?

Los timadores juegan con los miedos y emociones de sus víctimas. En una situación difícil, como la pandemia o la actual crisis económica que vivimos, muchas personas pueden ser más receptivas a las ofertas engañosas y las estafas.

¿Habéis identificado y analizado otras tendencias durante los últimos meses que los consumidores deban conocer?

Una de las estafas que más me ha llamado la atención últimamente tiene que ver con las tarjetas. Cuando se habla de estafas con tarjetas, la mayoría de las personas suelen pensar en el skimming, es decir, cuando los delincuentes copian los datos de la tarjeta utilizando cajeros manipulados. Pero en este caso no se trata de eso, sino que esta estafa, particularmente astuta, está relacionada con un servicio de vehículos compartidos.

Por lo general, la mayoría de plataformas de comercio entre particulares poseen funciones de pago integradas que no suelen permitir las transacciones fuera de la app. Esto se debe, en parte, a que abandonar la app puede acarrear problemas de seguridad y estafas. En el caso concreto que investigué se pretendía que los clientes de este servicio utilizaran su app o sitio web para realizar los pagos de un vehículo compartido. Sin embargo, detectamos que algunos conductores contactaban con los clientes fuera de la plataforma y les pedían que abonaran una pequeña comisión de reserva que, en teoría, se les reembolsaría en cuanto comenzaran el viaje. Para ello, pedían a los clientes que les proporcionasen a los conductores los datos de su tarjeta y un código que recibían más tarde por mensaje de texto. No obstante, los estafadores utilizaban los datos obtenidos para vincular la modalidad de pago de las víctimas a una wallet digital que controlaban. Las víctimas no se daban cuenta hasta que los estafadores habían hecho compras en tiendas online falsas para robarles el dinero de una forma muy difícil de rastrear.

Además de no comunicar nunca los códigos y contraseñas a nadie, ¿qué les aconsejarías a los consumidores para que mejoren su seguridad y eviten las estafas?

Es importante tener una dosis razonable de desconfianza en los entornos digitales, igual que ocurre en el mundo real. Los consumidores deben revisar siempre con ojo crítico los correos electrónicos, mensajes de texto y llamadas que reciban afirmando ser de su banco, procesador de pagos, tiendas online, etc. En caso de duda, lo mejor es colgar el teléfono o ignorar el correo y consultar directamente con la empresa en cuestión para asegurarte de que realmente son ellos.

En términos generales, los consumidores deben ser conscientes de los peligros que representa el mundo online En internet, es comprensible que la gente quiera cosas rápidas y fáciles, y los mecanismos de seguridad suelen considerarse una molestia. Las empresas seguirán desarrollando métodos mejores, más seguros y fluidos para mantener las cuentas seguras en el futuro, pero, por ahora, procura adoptar las medidas de seguridad adecuadas (como la autenticación de doble factor y utilizar una contraseña segura distinta para cada cuenta online) aunque tardes unos segundos más. Te aseguro que vale la pena.