Se acerca una de las épocas donde más compras online se realizan. La llegada del Black Friday a finales de noviembre y, unas semanas más tarde, la Navidad, llama la atención a partes iguales de consumidores y estafadores. Y es que, si alguna vez has recibido en tu domicilio un paquete con objetos que no habías solicitado, ¡atención! Puedes haber sido víctima de brushing, una estafa habitual en Estados Unidos que ya ha aterrizado en España.
El brushing es una práctica fraudulenta por la que una persona recibe en su vivienda un paquete a su nombre con productos que no ha solicitado ni comprado. Para aceptar el envío, dicha persona se tiene que identificar con sus datos personales que, más tarde, los estafadores utilizarán. En otras palabras, lo que puede parecer un regalo o un error puede tratarse de una suplantación de identidad.
En una entrevista con DIRIGENTES, Jordi Nebot, CEO y cofundador de PaynoPain, explica que la finalidad de esta estrategia es “enviar paquetes no solicitados usando datos personales con el fin de crear reseñas falsas sobre productos en sitios de comercio electrónico”. Esta práctica presenta diferentes tipos de riesgos para los usuarios. Por una parte, “sugiere que la información personal ha quedado comprometida y podría emplearse para fraudes más serios”. Y, por otro lado, “daña la confianza en las plataformas de compra online, ya que distorsiona la percepción de la calidad de los productos mediante la generación de opiniones engañosas”.
A la hora de preguntarse en qué medida los datos y la información personal de los usuarios corren riesgo con este tipo de fraude, el experto apunta que “peligran considerablemente”, ya que “la recepción de un paquete no solicitado implica que los datos personales del destinatario han quedado comprometidos, lo que indica que los ciberdelincuentes podrían tener acceso a información más sensible, como datos financieros».
Por otra parte, en lo que respecta a los productos que se han recibido sin haber sido solicitados, es importante señalar que podrían no haber pasado los controles de calidad pertinentes. Además, en el caso de tratarse de un dispositivo electrónico, la víctima puede enfrentarse a peligros adicionales, “como la posibilidad de que el dispositivo esté manipulado o que su uso comprometa aún más su seguridad personal o financiera”. Por ejemplo, si se trata de un smartwatch podría contener un software para recopilar información personal del usuario.
¿Qué hacer si eres víctima de brushing?
Con el fin de evitar que los datos personales queden comprometidos, si una persona es víctima de brushing debe tener en cuenta tres acciones:
- Presentar una denuncia por suplantación de identidad a la policía y las autoridades de consumo.
- Informar del incidente a la Agencia Española de Protección de Datos (AEPD).
- Revisar sus cuentas bancarias y cambiar sus contraseñas en las plataformas donde haya hecho compras.
El flujo cada vez mayor de datos personales está llamando la atención de los ciberdelincuentes. Por ello, el CEO de PaynoPain recomienda facilitar los datos bancarios únicamente al pagar en plataformas de ecommerce reconocidas que cuenten con sistemas de pago seguro y cifrado, así como en sitios que tengan certificado SSL. Mientras que no se deben compartir en dos situaciones: páginas web o aplicaciones sin certificado de seguridad y, tampoco, en respuesta a correos con información que no hayamos pedido previamente o mensajes sospechosos.
Para Nebot, el brushing es una amenaza global que va mucho más allá de nuestras fronteras. “Es evidente que, con el auge del comercio electrónico, los frentes de ataque se multiplican y los ciberdelincuentes se reinventan para sacar tajada de todo esto”, explica. En este escenario el experto detalla otras cuatro amenazas presentes, igualmente, en el mundo de los pagos:
- Phishing. Es conocida por ser una de las más comunes y, a través de ella, “los delincuentes utilizan correos electrónicos para dirigir a los usuarios a sitios web falsos donde se solicita información confidencial, como contraseñas, números de cuenta o datos sobre transacciones”. El phishing a menudo intenta asustar a la víctima haciéndole creer que se enfrentará a un problema serio si no hace clic en el enlace e inicia sesión en su cuenta.
- Vishing. Se trata de una evolución del phishing que utiliza llamadas telefónicas en lugar de correos electrónicos. Nebot comenta que los estafadores “se hacen pasar por instituciones como bancos o empresas y solicitan información personal o financiera directamente a través de la llamada”, de forma que el contacto con la víctima es más estrecho.
- Pharming. Esta amenaza “redirige el tráfico de una web legítima a una falsa para robar información confidencial”. Una de sus peculiaridades es que estas páginas fraudulentas “no solo recopilan datos personales y financieros, sino que también pueden infectar los dispositivos del usuario con virus para realizar el robo de identidad”.
- Ransomware. Este tipo de ataque secuestra archivos o datos importantes y pide un rescate para liberarlos. Afecta a personas y empresas al poner en riesgo información de valor.