A veces sentimos que, como somos inteligentes, nunca podremos ser estafados. ¿Quién podría enamorarse de un correo electrónico o un mensaje de texto mal escrito, verdad? Pero, lamentablemente, esa confianza puede hacernos descuidados. El hecho es que no todas las estafas son fáciles de detectar y el momento coincidente puede hacer que parezcan aún más convincentes. En otras palabras, se nos puede tener a todos.

Mi banco me envió recientemente una nueva tarjeta de crédito. A las pocas horas de recibirlo, también recibí un mensaje de texto de mi banco. El texto citaba correctamente los primeros tres dígitos del nuevo número de tarjeta y me pedía que hiciera clic en el enlace de validación incluido. Esto no parecía particularmente sospechoso. Quiero decir, el banco tiene mi número de teléfono y todos sabemos que es necesario activar las tarjetas de crédito.

Pero algo no estaba del todo bien. El lenguaje utilizado parecía un poco inusual, al igual que la URL. Efectivamente, una pequeña investigación reveló que se trataba de una estafa de phishing. El sitio web al que se vinculaba el texto tenía menos de 72 horas de antigüedad y no pertenecía al banco.

¿Cómo pasó esto? ¿Fue coincidencia o los estafadores sabían que me habían enviado una tarjeta? Le pregunté a un ex ciberdelincuente (un llamado carder) que dijo que el banco probablemente tenía una fuga en su cadena de suministro. En otras palabras, un empleado de uno de los vendedores del banco, tal vez un empleado de la oficina de correos, les había dicho a los estafadores que una tarjeta estaba en camino hacia mí. Si bien no necesariamente sabían el número completo de la tarjeta, pudieron citar los primeros tres números de la tarjeta porque identifican al emisor y no son exclusivos de los clientes.

El momento y el uso de los números de tarjeta correctos hicieron que la estafa fuera bastante convincente. Si bien yo no caí en la trampa, otros ciertamente lo harán. También habrán caído en otras estafas que parecían más plausibles debido al momento.

En febrero, el autor de ciencia ficción Cory Doctorow explicó cómo lo habían engañado para que revelara su número de tarjeta a un phisher telefónico que “luego cometió un fraude por valor de más de $8,000 antes de que yo descubriera lo que pasó”. Dejaré que usted lea los detalles, pero – tl;dr – la estafa tuvo éxito debido a una coincidencia y, tal vez, porque Cory estaba de vacaciones y se apresuraba a comprar una muffalata antes de dirigirse al aeropuerto. La ironía aquí –y posiblemente un factor que contribuya– es que Cory sabe sobre estas cosas. Es un cliente habitual de Defcon, donde asiste a concursos de ingeniería social y, de hecho, está escribiendo una serie de libros sobre estafas.

A menudo pensamos que sólo las personas estúpidas caen en estafas, pero ese no es el caso en absoluto. Para citar a Cory:

Entonces, ¿cómo evitar ser estafado? Desafortunadamente, no puedes. Pero lo que puedes hacer es reducir las probabilidades de que te estafen. Sea escéptico ante cualquier mensaje o llamada telefónica que reciba, incluso si el momento le hace pensar que probablemente sea real. Cuando se trata de asuntos relacionados con el dinero, siempre es mejor tomarse unos minutos para comprobar si un mensaje es legítimo. Busque el número de teléfono de la organización y llame, o visite su sitio web y utilice la opción de chat.

Las herramientas que pueden bloquear sitios web fraudulentos, como la función antiestafa integrada en nuestros productos, pueden resultar útiles. Pero estas herramientas simplemente le ayudan a reducir su riesgo. No están bloqueando todos los enlaces incorrectos, por lo que aun así debes realizar comprobaciones.

En pocas palabras: todos somos vulnerables y todos podemos ser engañados. La buena noticia, sin embargo, es que también podemos hacer que sea mucho menos probable que nos engañen.