¿Qué es el phishing?

La presencia de Internet en nuestras vidas es cada vez más patente. Las aplicaciones móviles han sustituido muchos trámites del plano físico al plano digital, y por ello han surgido nuevos métodos centrados en el robo de información y robo de dinero: la ciberdelincuencia y el cibercrimen.

En periodos iniciales, los ciberdelincuentes y cibercriminales utilizaban software malicioso para atacar a grandes empresas. Sin embargo, este método era muy costoso y por ello sus técnicas han ido evolucionando hasta constituirse como el negocio ilícito más lucrativo del mundo incorporando nuevos métodos. Entre otras cosas, se han inspirado en técnicas de engaño callejero para que los usuarios den su información voluntariamente, sus contraseñas, y hasta datos bancarios.

Esta metodología es lo que se conoce como Ingeniería Social y actualmente se utiliza contra cualquier usuario de Internet y aplicaciones de servicios, y también contra una gran variedad de empleados de cualquier compañía.Para ello, los ciberdelincuentes utilizan gran variedad de canales: email, SMS, llamadas, redes sociales…

En la ingeniería social, la técnica más utilizada es el Phishing. Es decir, el uso de correos fraudulentos que utilizan diferentes pretextos para engañar a los usuarios.

Definición de phishing

El phishing es el término informático que designa una técnica de suplantación de la identidad con la que los ciberdelincuentes intentan conseguir información confidencial de forma fraudulenta. El término deriva de la palabra inglesa “fishing” (pescar, pesca) porque eso es precisamente lo que intentan hacer los estafadores: lanzar un anzuelo para intentar “pescar” tus datos y credenciales.

Claves de acceso a la banca online, datos de la tarjeta de crédito, documentos de identidad… son ejemplos de la información sensible que pueden robarte con esta técnica, con la que también pueden llegar a infectar tu ordenador o dispositivo móvil con algún tipo de malware.

En 2021 se alcanzó un pico histórico según los registros del informe Phishing Activity de APWG, con 245.771 páginas fraudulentas utilizadas para estafas de Phishing detectadas en un mismo mes. Además, se mantiene una curva ascendente y continua en estas actividades maliciosas.

Por otra parte, según el informe Attack Landscape Q1 2021 de F-Secure el sector financiero es el más afectado: en conjunto, cerca de un 40 % de los ataques fueron dirigidos contra bancos, sistemas de pago y comercios online.

Aunque la forma más empleada para un intento de fraude es a través del correo electrónico, no es la única: los delincuentes también intentan acceder a tus datos a través de perfiles falsos en redes sociales, o enviando SMS a nuestro móvil (práctica que se conoce como Smishing), e incluso a través de llamadas telefónicas (Vishing). Además, en ataques sofisticados pueden realizar suplantaciones fiables gracias a técnicas como el Spoofing, mediante la cual pueden incluso cambiar el nombre que aparece en una llamada o conseguir que un SMS entre en el hilo oficial de comunicaciones de un servicio.

Cómo reconocer un intento de phishing

Los ciberdelincuentes perfeccionan sus técnicas continuamente, y a veces es difícil diferenciar un correo electrónico falso del original, pero hay pistas que pueden ayudarte a reconocer que estamos siendo víctimas de un intento de phishing:

  • Nombre del remitente. Si la dirección del remitente del correo electrónico es desconocida, o tiene un formato extraño, duda de que el correo sea auténtico, al igual que si no incluye el dominio de la entidad que supuestamente te lo envía o si viene de un servicio de correo gratuito como por ejemplo Gmail, Outlook o Yahoo.
  • La sensación de urgencia. Los timadores intentarán convencerte de la necesidad de que les facilites con urgencia tus datos personales (o bancarios) aludiendo a un supuesto problema de carácter técnico, un cambio en la política de seguridad de la entidad, un acceso anómalo a tu cuenta o movimientos sospechosos, la inminente desactivación de tu cuenta, la promoción de un nuevo producto e, incluso, la comunicación de un supuesto premio o una falsa oferta de empleo. Lo habitual de estos mensajes es que estén redactados en un tono alarmista, urgiéndote a actuar de forma inmediata.
  • Diferencias entre el texto del enlace y la URL a la que apunta. Los timadores intentarán que hagas clic en el link incluido en el correo electrónico para llevarte a una página web fraudulenta con la que intentan suplantar la verdadera. Este link puede estar oculto en botones o imágenes, o puede enlazar a palabras concretas del texto. Sin embargo, puedes comprobar la dirección de este enlace situando el puntero del ratón encima de estos elementos: si ves que no coincide con el texto del enlace, tiene un formato sospecho o no comienza por https (la “s” garantiza que la web de destino es una web segura), no pinches en él.
  • Fallos ortográficos o mala redacción. Normalmente, para diseñar sus mensajes “gancho” los delincuentes utilizan herramientas automáticas que integran funcionalidades de traducción, por lo que (si se trata de una estafa poco elaborada) es probable que veas palabras mal traducidas, expresiones que suenen raro en castellano, faltas de ortografía, palabras con símbolos extraños, etc.
  • Un saludo genérico. Si el saludo no está personalizado, y sigue un formato como: “Estimado cliente/usuario” o “Querido amigo”, desconfía. Normalmente los servicios de los que eres cliente se dirigen a ti por tu nombre completo.
  • Archivos adjuntos. Sospecha de que estás ante un phishing si el correo que recibes te pide que descargues un fichero. Cualquier archivo, incluso los documentos de Word o PDF, pueden incluir malware. Sin embargo, es realmente sospechoso un archivo que tiene más de una extensión (similar a “nombredefichero.doc.zip”, un archivo comprimido (tipo .zip), o un ejecutable (.exe). No descargues archivos adjuntos de correos que no esperas ya que es posible que se trate de un malware que infecte tu equipo. Y, si lo haces, pásale el antivirus antes de abrirlo y ejecutarlo.

Qué hacer si crees que has recibido un correo electrónico fraudulento

Si has recibido un correo electrónico con alguna de las características antes descritas la recomendación es:

  • No hacer caso a la petición de información que en el correo se solicita ni responder al correo o pinchar en los enlaces.
  • Si dudas del correo que has recibido, realiza una llamada al contacto oficial del servicio para comprobar su veracidad, o envía un email a la dirección oficial para clientes.
  • Si hay algún fichero adjunto, no abrirlo ni descargarlo.
  • Eliminar el correo electrónico sospechoso.
  • Pasar el antivirus al móvil u ordenador.
  • Si el Phishing que has recibido suplanta al Banco Santander, repórtalo enviando un correo electrónico a phishing@gruposantander.es.

Recuerda que las comunicaciones de Banco Santander son siempre personalizadas (con tu nombre y apellidos), que el banco no te pedirá tus datos o contraseñas ni por correo electrónico, ni por SMS o mediante llamadas de teléfono. No te enviará archivos adjuntos, ni incluirá enlaces a la página de inicio de la banca online. Si quieres acceder a los servicios de tu banca electrónica, utiliza siempre la aplicación oficial o accede directamente la dirección en tu navegador.

Qué hacer si has sido víctima de un ataque de phishing

En el caso de que hayas caído en un engaño tipo phishing, el consejo es que recopiles toda la información relacionada: el correo recibido, la página web a la que este enlace, la documentación que hayas enviado… y que presentes una denuncia en la Policía.

Asimismo, puedes contactar con la Oficina de Seguridad del Internauta del INCIBE (Instituto Nacional de Seguridad) y reportar el fraude para evitar que otros usuarios lo sufran también.

Si se trata de un phishing bancario, contacta con tu banco para informarles de lo sucedido y que pueda tomar las medidas de seguridad oportunas. Por tu parte, cambia inmediatamente las claves de los servicios afectados (tu acceso a la banca online, las contraseñas de tus tarjetas de crédito, etc.) y revisa periódicamente tus cuentas por si detectas algún movimiento sospechoso.

Si lo que has facilitado es otro tipo de información personal, dirígete a la entidad que corresponda para informarles de que has sido víctima de un ataque de phishing y puedan indicarte cómo actuar.

Ten en cuenta que, si a raíz del phishing, tu ordenador se ha visto infectado por algún virus o malware, tendrás que desinfectar el equipo con un antivirus. Si necesitas ayuda adicional, puedes recibir soporte a través de INCIBE-CERT, el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España operado por el Instituto Nacional de Ciberseguridad.

Los ataques de phishing son una práctica habitual y no podemos impedir que nos lleguen mensajes fraudulentos al buzón de entrada de nuestro e-mail. Sin embargo, estando alerta y siguiendo estos consejos podrás evitar caer en las trampas de los ciberdelicuentes.

Te puede interesar

×
${loading}
×