Phishing: qué es y cómo prevenirlo

Phishing

La crisis del COVID-19 ha hecho aumentar el eCommerce y con él también las estafas online. Según la Guardia Civil, durante el período de confinamiento este tipo de delitos aumentaron un 70%, aunque no en todos los casos los afectados han presentado denuncias. Una de las estafas digitales más habituales en la actualidad es la que se realiza a través del phishing. Aquí recogemos las claves para identificar esta práctica fraudulenta y evitar caer en ella.

Uno de los mayores centros mundiales de análisis sobre la estafa online, el Centro de Quejas sobre Delitos en Internet del FBI, asegura que las quejas sobre phishing que han llegado a su departamento se han triplicado desde que las preocupaciones sobre el COVID-19 se generalizaron. De hecho, en España la Guardia Civil llegó a abrir un canal de comunicación ciudadana (ciberestafas@guardiacivil.org) para recibir las denuncias relacionadas con ventas fraudulentas y posibles estafas que utilizan el coronavirus como gancho.  Pese a todo, esta crisis sanitaria no ha hecho más que extender una práctica que ya estaba instalada en la red desde hace unos años.

¿Qué es el phishing y cómo actúa?

Como ocurre con la mayoría de conceptos digitales, el término phishing resulta mucho más fácil de entender si lo traducimos al español. Su origen se encuentra en la palabra inglesa “fishing” que significa “pesca”, por lo que hace alusión a las víctimas que pican el anzuelo y son pescadas por los ciberdelincuentes. Este tipo de estafa online en concreto se basa en la suplantación de identidad, es decir, los estafadores se hacen pasar por una empresa o institución con buena reputación para solicitar a la víctima datos personales, ya sean de identificación personal, operatividad digital o directamente bancarios.

El modus operandi de las bandas especializadas en phishing ha ido cambiando a lo largo de los años especialmente en lo que a vía de acceso a la víctima se refiere. Mientras en sus inicios se producía de manera telefónica, la gran expansión de esta estafa llegó con la generalización del uso del correo electrónico -todavía hoy su vía de acción preferida- pero el los últimos tiempos también se han producido fraudes a través de SMS, redes sociales e incluso WhatsApp.

El procedimiento es todos los casos suele cumplir las siguientes condiciones:

  • Suplanta la identidad de una marca o institución conocida o con buena reputación.
  • Incluye un mensaje de alerta o urgencia que invita a realizar una acción y, de no hacerlo, tendrá graves consecuencias para la víctima. Por ejemplo, “si no cambias ahora tu contraseña, tus datos corren peligro”, “si no actualizas tu cuenta, dejará de estar operativa en 24h” y advertencias similares.
  • Incluye un enlace a una página externa donde hay un formulario en el que debes introducir datos personales con los que se procederá al robo o estafa.

Casos de phishing más famosos y virales

Como ya hemos mencionado, los casos de phishing se han multiplicado en los últimos años y lo han hecho utilizando diferentes métodos y marcas. En el contexto de la crisis del COVID-19, uno de los casos más destacados ha sido la suplantación de identidad del mismísimo Ministerio de Trabajo. En nombre de este organismo público se enviaba un correo electrónico donde se informaba a empresarios de que su negocio estaba siendo investigado por incumplimiento de la normativa vigente durante el Estado de Alarma. Los ciberdelincuentes amenazaban al destinatario con importantes sanciones y para conocerlas debía clicar en un enlace donde se indicaban los pasos a seguir para solucionarlo. El envío se realizaba por correo electrónico, un método también utilizado para enviar estafas suplantando a la Dirección General de Tráfico o la Agencia Tributaria.

Las redes sociales son el método más usado para fórmulas de phishing que utilizan los sorteos y cheques regalos como gancho. Uno de los más extendidos en el último año ha sido el que usaba la imagen de la cadena de supermercados Mercadona para informar de que, con motivo de su cuarenta y cinco aniversario, repartían cheques regalo por valor de 250€. El cheque nunca llegaba pero las víctimas entregaban sus datos personales en el proceso. 

En el formato SMS uno de los casos más conocidos ha sido el de Correos, una estafa especialmente peligrosa ya que los ciberdelincuentes habían cuidado especialmente el lenguaje y los formalismos para asemejarse lo máximo posible las comunicaciones habituales de la compañía. El mensaje de la estafa informaba al destinatario de que tenía un paquete retenido en aduanas y debía abonar un euro para poder recibirlo. El bajo coste del arancel hacía que muchas personas decidieran abonarlo sin saber que una vez introducidos los datos bancarios estos pasarían a manos de delicuentes cibernéticos.

5 trucos para el evitar el phishing

Como vemos, la pluralidad de remitentes y vías de comunicación utilizadas para cometer phishing hacen fácil que en un momento u otro podamos bajar la guardia y caer en la estafa. Por ello es importante mantenerse alerta ante cualquier procedimiento online donde vamos a introducir datos personales, ya sean de identificación, bancarios o incluso simplemente de acceso a una red social o de contenido audiovisual. Hay cinco señales que pueden advertirnos del peligro:

  1. La identidad del remitente. Es la regla básica número uno para evitar el phishing, identificar cuál es el remitente del envío, ya sea dirección de correo electrónico o número de teléfono en el caso de un SMS. Siempre que no conozcamos el origen del envío debemos desconfiar, así como cuando éste no coincida con el dominio de la página oficial de la compañía que nos escribe, cuando sea diferente al de correos previos que hemos recibido o símplemente el correo esté creado con un gestor de emails gratuitos como Gmail o Yahoo.
  2. El estilo de escritura. Los detalles pueden darnos muchas pistas para identificar una estafa. Una empresa con cierto prestigio cuida la forma de todos sus comunicados, tanto a nivel gráfico como gramatical y ortográfico. Por ello, sospecha de todo envío con frases inconexas o sin sentido -pueden ser fruto de una traducción automática- así como cuando existen faltas de ortografía o incluso si el correo electrónico está mal maquetado o desconfigurado.
  3. Url del link de destino. A menudo los correos electrónicos de phishing te indican un link en el que debes clickar para seguir adelante con el proceso indicado en el correo. Debes fijarte en que el enlace y la url de destino coincidan, de no hacerlo, puede ser que quieran ocultar algo. Para ello, solo debes situar el ratón encima del link y fijarte en la url a la que te redirecciona (aparece habitualmente en la parte inferior del navegador).
  4. Mensaje no personalizado. Cada vez más las compañías buscan la cercanía con el cliente y esto se consigue, entre otras muchas cosas, a través de la personalización de los correos electrónicos: se dirigen a los clientes por su nombre. No todas lo hacen pero dado que es una práctica muy extendida, puedes tenerlo en cuenta a la hora de valorar si un email es fraudulento o no.
  5. Asunto urgente y de graves consecuencias. Una de las tácticas más habituales en phishing es hacer creer a la víctima que, de no seguir las indicaciones del falso correo, sucederá algo con graves consecuencias para él, como por ejemplo la desactivación de su cuenta bancaria, la supresión de su línea telefónica, etc. Por ello, utilizan mensajes alarmantes y con un límite de tiempo muy ajustado para realizar la gestión. El objetivo es que la víctima quiera solucionar el tema lo antes posible y no dedique tiempo a averiguar o contrastar el origen del mensaje. Los plazos reales de las compañías o instituciones nunca son tan cortos.

Además de estar atento a todas las pistas, lo más importante para evitar ser víctima de este tipo de estafa cibernética es contrastar la información. Ante la más mínima sospecha, es recomendable hacer una búsqueda por Internet para saber si ya existe un precedente en estafas similares, contrastar el correo con otros que hayamos podido recibir de esa empresa y, por supuesto, consultar a la propia compañía remitente si ha realizado dicha petición.

¿Qué hacer si eres víctima de phishing?

Si los ciberdelincuentes han sido cuidadosos y no hemos sido capaces de detectar la estafa con ninguna de estas pistas, debemos actuar con rapidez sin olvidar estos pasos:

  • Bloquear cuentas. Si la estafa ha afectado a nuestra cuenta bancaria, con un cobro irregular por ejemplo, además de bloquear nuestra cuenta corriente, debemos informar a la entidad bancaria de lo ocurrido y el procedimiento utilizado por los ciberdelincuentes. 
  • Actualizar contraseñas. Si lo que se ha visto afectado ha sido nuestra identidad digital, ya sea en aplicaciones o perfiles sociales, debemos modificar rápidamente todas las contraseñas. Recuerda, además, las reglas básicas sobre contraseñas:
    • Deben ser fuertes, es decir, alfanuméricas y con mayúsculas y minúsculas.
    • Deben ser diferentes para las distintas aplicaciones o redes, nunca se debe usar la misma para todo.
    • Se deben cambiar con regularidad.
    • Nunca se deben enviar por correo electrónico o redes sociales.
  • Desinfectar dispositivos. En ocasiones, los ataques de phishing buscan introducir malware maliciosos tanto en ordenadores como en dispositivos móviles para poder sustraer datos en el futuro, por ello no está de más utilizar programas de detección y limpieza de virus informáticos.
  • Informar a la empresa suplantada y las instituciones pertinentes. Es importante que la empresa suplantada conozca que se está produciendo una estafa en su nombre para que pueda avisar al resto de clientes. Además, cualquier estafa online debe ser denunciada ante la policía ya que es la única forma de que las autoridades puedan actuar frente a las bandas de ciberdelincuentes. También es recomendable informar de lo ocurrido al Instituto Nacional de Ciberseguridad o la Oficina de Seguridad del Internauta para ponerles sobre la pista de lo que está ocurriendo.

Tanto para evitar el phishing como cualquier otro tipo de estafa, la prevención y la cautela son siempre las mejores armas.

¿Te ha gustado esta entrada? ¡No dudes en compartirlo!



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies