Cómo obtienen los estafadores tus datos: explicación clara de 8 estafas comunes

Cómo obtienen los estafadores tus datos: explicación clara de 8 estafas comunes

Los datos del pasaporte aparecen en canales de Telegram, «servicio de seguridad» llama por nombre y patronímico, y en el correo del «banco» por alguna razón aparece el importe exacto de la última compra. Si alguna vez se ha preguntado de dónde sacan los delincuentes esa información, la respuesta es sencilla: hay muchas fuentes y la mitad dependen de la falta de atención de los propios usuarios. Abajo están ocho vías más comunes por las que los datos personales llegan a terceros, con ejemplos reales y recomendaciones prácticas.

Phishing: «Confirme su cuenta, de lo contrario será bloqueada»

Esencia del esquema. Correos masivos, SMS o mensajes en mensajería imitan el estilo del banco, «Gosuslugi», un mercado en línea o una empresa de mensajería. El objetivo es hacer que la persona abra el enlace y rellene un formulario. Con frecuencia los estafadores compran plantillas listas de sitios clonados en el darknet: 20–50 $ por un paquete «Sberbank», «Pochta Rossii», etc.

Qué complica el reconocimiento.

  • Certificado SSL. El sitio falso también muestra el «candado» en la barra de dirección, por eso ya no sirve fiarse sólo del «https».
  • Micro‑suplantación de dominio. bank.ru (la «a» es latina aquí) o gosusluqi.ru en lugar de gosuslugi.ru.
  • Personalización. En el texto indican su nombre e incluso las últimas cifras de la tarjeta: esos datos pudieron aparecer tras filtraciones anteriores.

Ejemplo reciente. En la primavera de 2023 más de 45 000 clientes de PayPal recibieron un correo sobre «actividad sospechosa». El sitio clonado pedía login y contraseña, y en la segunda página solicitaba el número de la tarjeta. Un estudio de Laboratorio Kaspersky mostró: alrededor del 12 % de los destinatarios entregaron sus datos completos a los atacantes.

Cómo protegerse. Verifique el dominio letra por letra, no haga clic en enlaces recibidos por correo; acceda al sitio del banco tecleando la dirección o usando su marcador. Active la verificación en dos pasos: incluso con la contraseña robada no se podrá acceder a la cuenta sin la confirmación adicional.

Ingeniería social: presión sobre las emociones

Cómo funciona. El atacante se hace pasar por una figura de autoridad: empleado del banco, de Hacienda, del servicio de seguridad. El guion busca provocar miedo, prisa o compasión.

  • Técnica «urgencia + rescate». «Ahora mismo se está efectuando un cargo de 30 000 ₽. Para detenerlo, diga el código del SMS». La víctima ejecuta cualquier instrucción sin pensar.
  • Técnica «familiar en apuros». «Mamá, tuve un accidente, ¡necesito dinero ya!» — se usa la escucha de redes abiertas para conocer nombres de familiares.

Caso real. En 2022 en EE. UU. estafadores se hicieron pasar por la agencia tributaria. Bajo la amenaza de «detención por impago» jubilados transfirieron 2 millones $. Según el informe del FBI, el 75 % de las víctimas admitió que la «seguridad» que transmitía la persona que llamaba y la mención de una dirección real les convenció.

Consejo. Cuelgue y vuelva a llamar a la organización usando el número del sitio oficial; no continúe la conversación por la llamada entrante.

Hackeo de bases de datos de empresas: cómo un fallo se convierte en millones de registros en el mercado negro

Cómo comienza el ataque. Los atacantes rara vez entran a la fuerza. Primero escanean la red externa de la empresa y recogen un «mapa» de servicios: versiones de CMS, panel de administración, puertos abiertos. Luego eligen el punto más débil y avanzan, obteniendo privilegios y contraseñas.

Tres «agujeros» frecuentes por los que se filtran datos

  1. Software obsoleto. En el servidor sigue funcionando una CMS versión 4.1, y en un informe CVE ya se describe una vulnerabilidad crítica en 4.1.1. Al atacante solo le queda ejecutar un exploit listo: acceso a la base obtenido.
  2. Contraseña débil del administrador. Un ataque de fuerza bruta con diccionario toma minutos. Tras el acceso el atacante sube un PHP‑shell y descarga la tabla de usuarios.
  3. Bucket S3 abierto. DevOps dejó la copia de seguridad en la nube sin política Private. Cualquiera que conozca el enlace descarga dump.sql de 20 GB sin autenticación.

Qué suele acabar en el darknet

  • Nombre completo, teléfonos, correo electrónico
  • Hashes de contraseñas (y a veces las contraseñas en texto claro)
  • Historial de pedidos, importes de compras, direcciones de entrega
  • Campos ocultos con tokens de pago, si los desarrolladores olvidaron anonimizar los datos

Filtraciones sonadas de los últimos años

  • Silent Crow → contratista de Rostelecom (enero de 2025). 154 000 correos electrónicos y 101 000 teléfonos de personas jurídicas. El acceso se obtuvo a través de un VPN de oficina obsoleto sin autenticación de dos factores.
  • Base Yandex Eat (marzo de 2022). Nombres, teléfonos y direcciones de cientos de miles de clientes se publicaron. Se responsabilizó a un empleado de soporte que volcó un CSV y olvidó eliminarlo de su repositorio Git personal.
  • LeakCheck 2024 (informe de Roskomnadzor). El regulador registró 135 incidentes: se filtraron más de 710 millones de filas de datos personales. Casi el 60 % de los casos se relaciona con una mala configuración de almacenamientos en la nube.

    • Malware: desde un correo con adjunto hasta la toma completa del dispositivo

    Puntos de entrada. Con más frecuencia los troyanos entran por tres vías:

    1. Correo señuelo con una factura en PDF o un documento Word. Dentro hay un macro que descarga un ejecutable desde el servidor del atacante.
    2. Sitio comprometido con un banner publicitario. Basta con entrar: mediante un exploit‑kit el navegador descarga un script que instala el malware.
    3. APK desde un canal de Telegram «películas gratis». Tras la instalación la app solicita permisos «Leer SMS» y «Acceso a notificaciones»: con ellos envía los códigos 2FA al autor del ataque.

    Cómo se ve en el caso Emotet. El informe de CISA describe la cadena:

    1. Correo «¡Urgente! factura impaga» + archivo Word.
    2. La víctima activa el macro → se descarga una librería DLL.
    3. Emotet instala un keylogger, roba contraseñas del navegador y se propaga por Outlook usando la libreta de direcciones del propietario.

    Protección. Actualice el sistema operativo y el navegador, no active macros en documentos recibidos por correo, ponga un antivirus móvil con escaneo en la nube antes de instalar APK.

    Redes sociales y fuentes abiertas: fuga voluntaria de información

    Según el informe We Are Social Digital 2024, el ciudadano ruso promedio publica al mes al menos ocho detalles personales: fecha de nacimiento, geolocalización de la foto, estado civil. Parsers especializados recogen estas «migas» y crean un perfil de la víctima para phishing dirigido o para deducir contraseñas.

    Consejo. Quite el teléfono de los campos públicos del perfil, publique la foto del pase de abordar solo después de volver a casa, no escriba el año de nacimiento: basta con día y mes.

    Redes Wi‑Fi públicas: cómo funciona el escenario Evil Twin

    El atacante enciende un portátil en modo punto de acceso con el nombre FreeAirportWiFi. El smartphone ve el SSID conocido y se conecta automáticamente. Luego el atacante activa un proxy‑sniffer:

    1. El tráfico no cifrado (HTTP) se lee de inmediato.
    2. HTTPS se degrada a HTTP mediante la técnica SSL‑strip, si el sitio no usa HSTS.
    3. Los logins, cookies y números de tarjeta van a un archivo de registro.

    La técnica está descrita en detalle en la investigación de Kaspersky Evil Twin.

    Reducir el riesgo. Use una VPN, desactive la conexión automática a redes abiertas, no introduzca contraseñas ni haga pagos en un Wi‑Fi público gratuito.

    Aplicaciones móviles trampa: permisos de más delatan al atacante

    Google en su informe anual Play Safety 2023 señaló que eliminó 1,7 millones de aplicaciones por recolección oculta de datos. Parte de ellas llegó a acumular hasta 620 000 instalaciones.

    Cómo reconocer un APK malicioso. Una «linterna» pide acceso a contactos y registro de llamadas, un juego solicita permiso para leer SMS. Si la solicitud no se explica por la lógica de la aplicación, elimínela sin dudar.

    Consejo. Descargue programas solo de tiendas oficiales, revise las opiniones y, tras la instalación, compruebe inmediatamente la lista de permisos.

    Fugas internas: cuando los datos se llevan los propios empleados

    Un archivo se puede perder por descuido o robar intencionadamente. El estudio de SearchInform 2024 muestra: el 62 % de las fugas en la industria están relacionadas con empleados, y dos tercios de ellas son errores accidentales. El código penal ruso desde noviembre de 2024 contempla hasta cinco años de prisión por manejo negligente de datos personales.

    Qué debe hacer el cliente. Dar la información mínima: para un programa de fidelidad basta el correo electrónico, no la serie y el número del pasaporte. Cualquier atributo adicional aumenta el daño en caso de hackeo.

    Qué recordar

    Los estafadores combinan técnicas: phishing + llamada telefónica, base filtrada + ingeniería social. Eliminar completamente los riesgos no es posible, pero sí se puede reducir la probabilidad de convertirse en objetivo:

    • Mire con escepticismo cualquier correo o llamada «urgente».
    • Verifique la dirección del sitio hasta la última letra.
    • No publique datos innecesarios en abierto.
    • Use 2FA y contraseñas distintas para servicios distintos.
    • Controle los permisos de las aplicaciones y actualice los dispositivos.

    La ciberhigiene es como el cinturón de seguridad: resulta incómodo abrocharse cada vez hasta que ocurre un accidente. Pero cuando ocurra, agradecerá haber dedicado unos segundos a ese trámite incómodo.

Alt text
article-title

Techno Lady