Phishing: cómo reconocerlo y tips para evitarlo

El 11 de febrero se celebra el Día de Internet Seguro, una iniciativa que lanzó la Unión Europea en 2004 para promover la necesidad de contar con una Red más segura. El progresivo uso de Internet en cada vez más ámbitos de nuestra vida ha llevado aparejado un incremento de los ciberataques y una de las fórmulas más empleadas por los ciberdelincuentes es el phishing. ¿Sabes qué es y cómo reconocer un intento de phishing?

Definición de phishing

El phishing es el término informático que designa una técnica de suplantación de la identidad con la que los delincuentes intentan conseguir información confidencial de forma fraudulenta. El término deriva de la palabra inglesa “fishing” (pescar, pesca) porque eso es precisamente lo que intentan hacer los estafadores: lanzan un anzuelo para intentar “pescar” tus datos.

Claves de acceso a la banca online, datos de la tarjeta de crédito, documentos de identidad… son ejemplos de la información sensible que pueden robarte con esta técnica, con la que también pueden llegar a infectar tu ordenador o dispositivo móvil con algún tipo de malware.

En 2018 se produjeron en todo el mundo unos 500 millones de ataques de phishing, según un informe de Kaspersky Lab, siendo el sector financiero el más afectado: más del 44% de los ataques se dirigieron contra bancos, sistemas de pago y comercios online.

La forma más empleada para un intento de phishing es a través del correo electrónico, aunque no es la única: los delincuentes también intentan acceder a tus datos a través de perfiles falsos en redes sociales, enviando SMS a nuestro móvil (práctica que se conoce como smishing) o a través de llamadas telefónicas.

Cómo reconocer un intento de phishing

Los ciberdelincuentes perfeccionan sus técnicas continuamente, y a veces es difícil diferenciar un correo electrónico falso del original, pero hay pistas que pueden ayudarte a reconocer que estamos siendo víctimas de un intento de phishing:

  • Nombre del remitente. Si la dirección del remitente del correo electrónico es desconocida, o tiene un formato extraño, duda de que el correo sea auténtico, al igual que si no incluye el dominio de la entidad que supuestamente te lo envía o si viene de un servicio de correo gratuito como Gmail, Yahoo u Outlook.
  • Los argumentos que usan. Los timadores intentarán convencerte de la necesidad de que les facilites con urgencia tus datos personales (o bancarios) aludiendo a un supuesto problema de carácter técnico, un cambio en la política de seguridad de la entidad, un acceso anómalo a tu cuenta o movimientos sospechosos, la inminente desactivación de tu cuenta, la promoción de un nuevo producto e, incluso, la comunicación de un supuesto premio o una falsa oferta de empleo. Lo habitual de estos mensajes es que estén redactados en un tono alarmista, urgiéndote a actuar de forma inmediata con avisos de que si no haces click en el enlace o no envías tus datos se cancelará tu cuenta o tendrás que pagar una multa.
  • Diferencias entre el texto del enlace y la URL a la que apunta. Los timadores intentarán que hagas click en el link incluido en el correo electrónico para llevarte a una página web fraudulenta con la que intentan suplantar la verdadera. Puedes comprobar la dirección de este enlace situando el puntero del ratón encima: si ves que no coincide con el texto del enlace, tiene un formato sospecho o no comienza por https (la “s” garantiza que la web de destino es una web segura) no pinches en él.
  • Fallos ortográficos o mala redacción. Normalmente, para diseñar sus mensajes “gancho” los delincuentes utilizan herramientas automáticas que integran funcionalidades de traducción, por lo que es probable que veas palabras mal traducidas, expresiones que suenen raro en castellano, faltas de ortografía, palabras con símbolos extraños, etc.
  • Un mensaje no personalizado. Si el saludo es un genérico del tipo “Estimado cliente/usuario” o “Querido amigo” desconfía.
  • Las extensiones de los documentos adjuntos. Sospecha de que estás ante un phishing si el correo que recibes te pide que descargues un fichero que tiene más de una extensión (similar a “nombredefichero.doc.zip” o es un archivo comprimido (tipo .zip) o ejecutable (.exe). No lo descargues ya que es posible que se trate de un malware que infecte tu equipo, o si lo haces, pásale el antivirus antes de abrirlo y ejecutarlo.

Qué hacer si crees que has recibido un correo electrónico fraudulento

Si has recibido un correo electrónico con alguna de las características antes descritas la recomendación es:

  • No hacer caso a la petición de información que en el correo se solicita ni responder al correo o pinchar en los enlaces
  • Si hay algún fichero adjunto, no abrirlo ni descargarlo
  • Eliminar el correo electrónico sospechoso
  • Pasar el antivirus al móvil u ordenador.

Si tienes dudas sobre la autenticidad de un correo electrónico, contacta con la entidad que supuestamente te está enviando la comunicación para comprobar que verdaderamente han sido ellos quienes te han escrito.

De todas formas, recuerda que las comunicaciones de Banco Santander son siempre personalizadas (con tu nombre y apellidos), que el banco no te pedirá tus datos o contraseñas ni por correo electrónico ni por teléfono, ni te enviará archivos adjuntos, ni incluirá enlaces a la página de inicio de la banca online. Si quieres acceder a los servicios de tu banca electrónica, es mejor que escribas directamente la dirección en tu navegador.

Qué hacer si has sido víctima de un ataque de phishing

En el caso de que hayas caído en un engaño tipo phishing, el consejo es que recopiles toda la información relacionada: el correo recibido, la página web a la que este enlace, la documentación que hayas enviado… y que presentes una denuncia en la Policía. Asimismo, puedes contactar con la Oficina de Seguridad del Internauta del INCIBE (Instituto Nacional de Seguridad) y reportar el fraude para evitar que otros usuarios lo sufran también.

Si se trata de un phishing bancario, contacta con tu banco para informarles de lo sucedido y que pueda tomar las medidas de seguridad oportunas. Por tu parte, cambia inmediatamente las claves de los servicios afectados (tu acceso a la banca online, las contraseñas de tus tarjetas de crédito, etc.) y revisa periódicamente tus cuentas por si detectas algún movimiento sospechoso.

Si lo que has facilitado es otro tipo de información personal, dirígete a la entidad que corresponda para informarles de que has sido víctima de un ataque de phishing y te indiquen cómo actuar.

Ten en cuenta que si a raíz del phishing tu ordenador se ha visto infectado por algún virus o malware, tendrás que desinfectar el equipo con un antivirus. Si necesitas ayuda adicional, puedes recibir soporte a través de INCIBE-CERT, el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por el Instituto Nacional de Ciberseguridad.

Los ataques de phishing son una práctica habitual y no podemos impedir que nos lleguen mensajes fraudulentos al buzón de entrada de nuestro e-mail. Sin embargo, estando alerta y siguiendo estos consejos podrás evitar caer en las trampas de los ciberdelicuentes.

Te puede interesar

×
${loading}
×