La llegada de la vacuna contra el COVID-19 a México y el anuncio de la segunda fase de vacunación destinada a adultos mayores ha disparado el interés de la población por acceder el sitio oficial de registro https://mivacuna.salud.gob.mx. No obstante, ya que el registro implica compartir datos personales tan sensibles como la Clave Única de Registro de Población (CURP), la noticia no ha de pasar desapercibida para los cibercriminales quienes, desde el principio de la pandemia, han aprovechado temas relacionados al coronavirus para propagar desinformación y cometer fraudes.
Según investigaciones de Kaspersky, temas relacionados al coronavirus, como subsidios federales y la escasez de gel antibacterial al principio del confinamiento, han sido aprovechados por los ciberdelincuentes para lanzar ataques de ingeniería social como el phishing y vishing, con el fin de obtener datos personales y financieros. Aunque por el momento no se han descubierto nuevas campañas relacionadas a esta iniciativa, no se descarta que el alto interés por el registro para la vacuna genere la creación de sitios falsos que pretendan ser confiables y legítimos.
“Los estafadores emplean estrategias sofisticadas que incorporan el uso del malware firmado digitalmente, ataques de phishing personalizados y dominios falsos con certificados SSL. Todos estos ataques tienen el mismo objetivo: infectar los dispositivos de sus víctimas para el robo de datos y dinero”, asegura Roberto Martinez, analista de seguridad senior en Kaspersky. “Además, este tema también puede dar pie a estafas de vishing, una táctica donde los cibercriminales usan bases de datos robadas para realizar llamadas haciéndose pasar por una empresa u organización auténtica y así convencer a sus víctimas a que proporcionen información personal”.
Según el especialista, algunos sitios web de phishing cuentan con un diseño profesional que los hace difícil de identificar y aparentan ser sitios seguros. Por ejemplo, el URL de dichos sitios puede comenzar con «https», donde la «s» significa «seguro», ya que los cibercriminales consiguen comprar certificados SSL válidos de las autoridades de certificación. Los dominios de phishing a veces también tienen versiones móviles que parecen auténticos y están dirigidos a usuarios con teléfonos inteligentes y tabletas.
En el caso de vishing, este tipo de estafa procura que la víctima actúe durante la llamada telefónica. Los estafadores colocan presión para que sus objetivos confíen en la urgencia y esperan que el “pánico” los haga reaccionar para que proporcionen la información solicitada.
Kaspersky ofrece una serie de recomendaciones para que los adultos mayores realicen su registro con la mayor seguridad posible:
• Asegura de que al momento de acceder al sitio de registro de vacunación, ingreses correctamente en tu navegador la dirección https://mivacuna.salud.gob.mx sin espacios, caracteres ni signos de puntuación adicionales.
• Recuerda que el sitio oficial del gobierno únicamente solicita su CURP, datos de contacto (correo electrónico y teléfonos) y no le solicita datos de cuentas bancarias o ningún otro tipo de información personal.
• No confíes en enlaces que te compartan a través de mensajes de WhatsApp, correo electrónico o vía Redes Sociales. Es recomendable que teclees la dirección de la página oficial del gobierno directamente en la barra de tu navegador.
• Para evitar el vishing, utiliza una aplicación de bloqueo de llamadas. Estas aplicaciones identifican e impiden que las llamadas automáticas ilegales y otras estafas llegan a tu teléfono. Algunas aplicaciones tienen clasificadores de llamadas que te dicen qué llamadas pueden ser spam, lo que te permite decidir si quieres contestar.
• No interactúes y cuelga. Interactuar de cualquier manera podría fomentar más llamadas. Evita presionar números para navegar por los menús automatizados y no respondas al personal si crees que es una estafa. Simplemente cuelga y considera hacer tu propia investigación, si tienes curiosidad.
• Instala en tus dispositivos protección anti-malware robusta, como Kaspersky Total Security, la cual neutraliza amenazas, como malware, spyware, adware, keyloggers, estafas spear-phishing y ataques difíciles de detectar sin ejecución de archivos en dispositivos Windows, macOS, Android e iOS.