Por desgracia, ya no son solo los crédulos quienes caen en estafas y ataques de phishing, hoy en día cualquiera puede convertirse en víctima. Los ciberdelincuentes pasan años perfeccionando sus tácticas para garantizar resultados, y utilizan una sofisticada manipulación psicológica que a menudo es difícil de detectar. En el mundo de la ciberseguridad, este tipo de juegos mentales tienen incluso su propio nombre: ingeniería social.
En este artículo, desglosamos los trucos psicológicos que los estafadores usan para engañar a sus víctimas, las señales de alerta que debes tener en cuenta y qué hacer exactamente si notas que te están engañando.
Las emociones de las que se aprovechan los estafadores
La ingeniería social funciona precisamente porque desencadena nuestras emociones más profundas. Cuando una víctima está ansiosa, asustada o absorta en la intensidad del momento, tiende a tomar decisiones en una fracción de segundo sin pensar en las consecuencias. Y eso es exactamente de lo que se aprovechan los piratas informáticos.
Es por eso que, en un momento tan tenso cuando estás hablando o enviando mensajes de texto con alguien y te está exigiendo algo, debes pausar por un segundo y preguntarte: “¿Qué estoy sintiendo exactamente en este momento? ¿Qué estaba sintiendo justo antes? ¿Esta persona está tratando de aprovecharse de mi estado emocional?”
La mayoría de las veces, los estafadores intentan sacar partido de estas emociones:
- Miedo y ansiedad
- Emoción
- Vergüenza y culpa
- Sorpresa y conmoción
Primero, verifica con quién estás lidiando realmente
Antes de siquiera buscar señales de alerta, debes comprobar algo básico: ¿con quién estás hablando realmente? Digamos que estás conversando con alguien que dice ser el “representante de un banco”, lo mejor que puedes hacer es buscar el número de teléfono y la dirección de correo electrónico oficiales del banco en línea. Vuelve a llamarlos o envía un mensaje a una dirección que sepas que es 100 % legítima; siempre es mejor prevenir que lamentar.
Debes estar especialmente atento si alguien se comunica contigo a través de una aplicación de mensajería o una red social. Como regla general, las grandes empresas simplemente no operan así.
Indicios claros de que estás lidiando con un estafador
Te están haciendo pasar por una montaña rusa emocional
Supongamos que recibes un correo electrónico del “equipo de soporte” de un servicio de transmisión que utilizas. El mensaje afirma que alguien acaba de intentar iniciar sesión en tu cuenta desde otro país, lo que te hace entrar en pánico de inmediato. Pero instantáneamente te tranquilizan: “No te preocupes, bloqueamos el intento de inicio de sesión sospechoso justo a tiempo. Tu cuenta está segura”.
Sin embargo, los estafadores no se detienen ahí. El siguiente párrafo te sumerge de nuevo en modo de pánico: “Por desgracia, durante nuestro control de seguridad, descubrimos que tu información de pago puede estar en riesgo”. Por último, te lanzan un salvavidas: “Estamos listos para ayudarte a solucionar esto ahora mismo, simplemente haz clic en este vínculo para verificar tu identidad”.
Para cuando termina, ya pasaste por todas las emociones posibles en el minuto que estuviste leyendo esta “información urgente”. El objetivo de esta montaña rusa emocional es desequilibrarte para que dejes de pensar críticamente y comiences a simplemente reaccionar. Y en el momento en que el estafador aparece con una supuesta solución al problema, tu juicio se pierde por completo.
Saben un poco demasiado sobre ti
A menudo, los estafadores a menudo te bombardearán deliberadamente con tu propia información personal solo para que parezca que realmente saben de lo que están hablando y que tienen acceso real a tus datos confidenciales.
El hecho de que la persona del otro lado conozca detalles sobre tu identidad, economía o acuerdos, no significa que no sea un estafador. Gracias a la infinidad de filtraciones de datos, existe un expediente digital bastante grande de casi todos nosotros. Es muy fácil para un pirata informático averiguar exactamente cuánto gastaste en envíos de comestibles el año pasado, quién es tu proveedor de telefonía celular o qué dirección de correo electrónico está asociada con tu cuenta bancaria.
Intentan asustarte, a veces con amenazas y extorsión
Podría decirse que la forma más fácil de desequilibrar a alguien es infundirle miedo o aumentar su ansiedad. Cuando las propuestas demasiado buenas para ser verdad dejan de funcionar, los ciberdelincuentes revelan las tácticas de miedo: “Tu cuenta está en riesgo”, “Se te acusará de evasión de impuestos a menos que proporciones la frase de seguridad de tu monedero de criptomonedas”, “Perderás acceso a nuestros servicios a menos que nos llames ahora mismo” o “Se te incluyó en un registro de agresores sexuales. Comunícate con nosotros para resolverlo o, de lo contrario, habrá consecuencias legales y filtraremos tu información a los medios de comunicación”. La lista sigue y sigue.
A veces, estos mensajes pueden ser completamente neutrales e imitar un correo electrónico real de soporte a la perfección. Pero si el tono es demasiado dramático y sientes que te están acorralando, las probabilidades de que estés tratando con un estafador son cercanas al 99.9 %. Y si te exigen que actúes (como hacer una transferencia de dinero a una cuenta aleatoria o proporcionar datos confidenciales) bajo la amenaza de daño físico, vergüenza pública o cargos penales, puedes redondearlo al 100 %.
Para obtener más información sobre cómo operan los extorsionadores, consulta nuestra publicación Extorsión por correo electrónico: cómo los estafadores usan el chantaje.
Te habla una “persona extremadamente importante”
Para aumentar la ansiedad, los estafadores a menudo firman sus mensajes con los nombres de funcionarios de alto rango. Cuando esto suceda, respira y pregúntate: ¿estás seguro de que el jefe del IRS o el jefe de la policía local te llamaría o enviaría un mensaje de texto? Los funcionarios e investigadores de alto nivel suelen tener problemas mucho más importantes de los que ocuparse. Y si te acusan de un crimen escandaloso en un mensaje firmado por, digamos, el fiscal principal de la ciudad, esa es tu señal para desenmascararlo.
Recibes una propuesta demasiado buena para ser verdad
No te dejes engañar por actos de generosidad al azar o regalos que surgen de la nada. Aquí hay una breve lista de lo que podría sucederte:
- Recibes un paquete inesperado con un código QR impreso en la caja. Te dicen que lo escanees, supuestamente para averiguar quién lo envió, reclamar un cupón gratis del vendedor o confirmar la entrega para que no tengas que pagar una tarifa de envío. No es difícil adivinar que el código QR en realidad conduce a un sitio de phishing. A partir de ahí, los estafadores se aprovechan al máximo: pueden engañarte para que brindes la información de tu tarjeta, convencerte de que descargues una aplicación que resulta ser malware o hacer que proporciones un código de verificación para tu aplicación bancaria.
- “¡Hola! Te llamo desde el centro de entrega. Tienes un paquete (o un ramo de flores) en camino. ¿Podrías darme el código de verificación del mensaje de texto que te acabamos de enviar para que puedas reclamar tu regalo?”. A todo el mundo le encanta recibir regalos sorpresa. Pero en el fragor del momento, es fácil bajar la guardia y entregar accidentalmente a los estafadores un regalo propio, como el código de acceso a tu cuenta de servicios gubernamentales.
- ¡Pero qué suerte! Celebridades de todo tipo están anunciando un sorteo gratuito de NFT que promete hacerte ganar una fortuna. Para reclamar tu nuevo activo criptográfico, inicias una miniaplicación, escribes tus datos y… pum, no más cuenta de Telegram. En retrospectiva, esos perfiles de famosos que promocionaban el sorteo se veían un poco raros…
Te están presionando y tratando de aislarte del mundo exterior
“¡No cuelgues! Esta es tu última oportunidad para recuperar el acceso a tu cuenta”. “Si no respondes a este correo electrónico en un plazo de ocho horas, iniciaremos una acción penal en tu contra”. “Debes ir al banco de inmediato para guardar el dinero restante y depositarlo en una cuenta segura”. Si utilizan frases similares para que actúes de inmediato, haz una pausa: los estafadores solo intentan asustarte y crear una falsa sensación de urgencia.
Esta es una táctica clásica. Imagínate recibir una llamada de un estafador que se hace pasar por el representante de un banco, o incluso un funcionario del Departamento de Comercio, alegando que tus cuentas bancarias fueron pirateadas. Luego te piden que firmes un acuerdo de confidencialidad (supuestamente para ayudar a recuperar tu dinero) y te amenazan con iniciar una acción jurídica si se lo cuentas a cualquiera, incluso a tus familiares más cercanos. Insistirán en que el asunto es “grave”, requiere una acción inmediata y que la cooperación con las agencias gubernamentales “debe ser estrictamente confidencial”.
Recuerda que los representantes de una empresa o funcionarios del gobierno legítimos nunca te pedirán que guardes secretos a menos que se trate de datos gubernamentales clasificados o que hayas firmado un NDA corporativo real. Los estafadores alejan deliberadamente a las víctimas de cualquier sistema de apoyo, voz de la razón u opinión externa. Y no solo te aíslan de la gente; te desconectan de la información por completo. Es posible que a propósito te mantengan en la llamada o te bombardeen con mensajes de texto dramáticos, para que ni siquiera tengas un segundo para respirar, y mucho menos para buscar algo en línea.
Cuando te encuentras en un estado de mucha ansiedad, es muy fácil caer en estas manipulaciones y tomar decisiones imprudentes, incluso cuando crees que solo estás tratando de solucionar el problema. Nunca tengas miedo de pedir ayuda, buscar una segunda opinión sobre lo que está sucediendo es siempre una buena opción.
Intentan humillarte
Imagina que recibes una notificación de que tu cuenta está en riesgo que termina con instrucciones para que te comuniques con el servicio de soporte. Pero mientras el “representante de soporte” analiza el problema, intenta hacerte sentir culpable: “¿Cuándo fue la última vez que cambiaste tu contraseña? ¿Hace mucho? ¿No viste nuestras advertencias urgentes para actualizar tus credenciales?” o “Mira, el mensaje de texto lo dice ahí mismo: ¡no compartas este código con nadie! ¿Por qué lo hiciste?” Esta es una táctica intencionada para hacerte sentir culpa, que perdiste el control y necesitas la experiencia y la ayuda del estafador.
Incluso si realmente cometiste un error, no te castigues. Caer en la trampa de un estafador es mucho más fácil de lo que crees: todo lo que se necesita es un día de trabajo estresante y una llamada en el peor momento.
De repente recibes un aviso de que has estado… hablando con estafadores
A los estafadores les encanta usar esquemas confusos de varias etapas. Por ejemplo, es posible que primero intenten engañarte para que proporciones el código de acceso a tu aplicación bancaria con el pretexto de actualizar la información de tu cuenta. Pero luego, la llamada se interrumpe de la nada o recibes un mensaje de texto inmediato que te advierte que estabas hablando con un estafador, que entraron a tu cuenta y que debes comunicarte con el soporte técnico de inmediato por tu propia seguridad. A veces, puede que incluso algún supuesto “agente federal” o “policía” irrumpa en la conversación.
El problema es que este “equipo de seguridad” es parte del mismo grupo de estafadores que mantienen viva la estafa. Comenzarán a insistir en que todo tu dinero está a punto de caer en manos criminales a menos que lo muevas a una “cuenta segura” o afirmar que alguien ya sacó préstamos en tu nombre.
No te comuniques con números o direcciones de correo electrónico desconocidos que te envíen por mensaje, incluso si prometen ayudarte. Encuentra el sitio web legítimo de la empresa o agencia, busca sus canales de comunicación oficiales y usa solo esos.
Recuerda: ninguna agencia del gobierno (y ciertamente ninguna empresa privada) está escuchando tus conversaciones para verificar si estás hablando con estafadores. Tu mejor defensa contra los estafadores telefónicos es una aplicación de identificación de llamadas con una base de datos masiva que te advierta sobre las personas sospechosas que te llamen incluso antes de contestar.
Qué hacer si caes en una estafa
En primer lugar, no te culpes. Cualquier persona puede ser tomada por sorpresa y caer en un engaño durante un momento vulnerable. Trata de no entrar en pánico y recuerda exactamente qué tipo de información brindaste. Tus próximos pasos dependen completamente de eso:
- Proporcionaste el código de verificación de un mensaje de texto o la contraseña de una cuenta → Cambia de inmediato tu contraseña para ese servicio, así como para cualquier otra cuenta en la que la hayas reutilizado. Activa la autenticación de dos factores si aún no lo has hecho.
- Entregaste los datos de tu tarjeta → Llama a tu banco de inmediato y solicita que congelen tu tarjeta. Si ya retiraron o transfirieron dinero de tu cuenta, pregunta cómo puedes disputar la transacción.
- Hiciste clic en un vínculo sospechoso o descargaste un archivo de un remitente desconocido → Analiza tu dispositivo con un antivirus confiable. Tratar de averiguar por tu cuenta si descargaste malware es prácticamente imposible, ya que a menudo se oculta en tu dispositivo sin ningún indicio.
No escuches a los estafadores
A continuación, te indicamos cómo puedes proteger tus cuentas, tus datos y tu dinero:
- Tómate tu tiempo. Si alguien te apresura a actuar de inmediato (a ingresar tus datos, proporcionar un código o enviar dinero), lo más probable es que estés hablando con un ciberdelincuente. Espera un momento, vuelve a llamar a la empresa al número oficial en su sitio web y verifica si realmente necesitan algo de ti.
- Déjale tus miedos a Kaspersky Premium. A diferencia de un humano, nuestro paquete de seguridad antifraudes, basado en IA y ML, es completamente imparcial y detecta correos electrónicos de phishing y archivos maliciosos en los momentos en que una persona podría ponerse nerviosa. Te impedirá abrir sitios web sospechosos, detendrá los intentos de infectar tu dispositivo, neutralizará cualquier malware detectado y mantendrá tus datos y tu dinero seguros.
- Activa la autenticación de dos factores para tus cuentas importantes. Con Kaspersky Password Manager, puedes generar códigos de inicio de sesión únicos que cambian cada 30 segundos, lo que los hace mucho más difíciles de interceptar para los estafadores que los códigos enviados por correo electrónico o mensaje de texto.
- Si te cansaste de verificar constantemente quién llama, obtén una aplicación de identificación de llamadas con una extensa base de datos. Te advertirá instantáneamente si un estafador o un vendedor telefónico está del otro lado.
- Cíñete a la regla de oro: nunca reutilices una contraseña. Si usas la misma contraseña en diferentes servicios, un pirata informático solo necesita descifrar una de tus cuentas para obtener acceso a todas las demás. Las variaciones como “Contraseña123” y “Contraseña1234!” tampoco sirven: los pequeños ajustes como esos son muy fáciles de adivinar. Por supuesto, memorizar docenas o incluso cientos de contraseñas diferentes manualmente es una hazaña sobrehumana. Ahí es donde es útil un administrador de contraseñas para almacenar tus datos de manera segura en una bóveda cifrada y generar contraseñas únicas y verdaderamente complejas por ti.
Consulta nuestras otras publicaciones para obtener más consejos de seguridad:
ingeniería social
Consejos