Seguridad Online

Phishing: evita estafas en internet

¿Estás seguro de que te ha escrito tu banco? Cada día más de 100.000 personas sufren ataques de phishing a nivel global.

Ataques de phising

¿Qué es el phishing?

Cada año se multiplica el número de ataques diarios de phishing, con lo que se ha convertido en una de las estafas más comunes de internet. Quienes llevan a cabo esta estafa obtienen información confidencial como contraseñas bancarias o información de tarjetas de crédito, pero ¿cómo lo hacen?

El phishing es un intento de suplantación de identidad: los ciberdelincuentes se hacen pasar por una empresa, institución o servicio conocido y con buena reputación para engañarte y conseguir robar tus datos privados, credenciales de acceso o datos bancarios. Esta práctica fraudulenta se apoya en la ingeniería social, es decir, su éxito se basa en la confianza que tienes en la empresa o institución que está siendo suplantado. Por ello, muchas de estas comunicaciones utilizan la identidad de los servicios financieros o bancarios.

Adicionalmente, en ocasiones, el phishing también se usa para infectar los dispositivos con algún tipo de malware (programa malicioso).

¿Cómo puedo recibir una estafa de phishing?

La mayoría de casos de phishing se distribuyen a través del correo electrónico ya que los ciberdelincuentes cuentan con un gran número de direcciones de email que han recopilado de muy diversas formas. Por tanto, les resulta relativamente sencillo utilizar este medio para difundir sus ataques de phishing.

No obstante, también hay otros medios de propagación como:

Las redes sociales, a través de la creación de perfiles y páginas falsas.
Envío de mensajes SMS/MMS a números de teléfonos móviles. Esta práctica se conoce como Smishing.
Llamadas telefónicas, tanto a teléfonos móviles como fijos.

¿Cuáles son las empresas, instituciones o servicios más utilizados en el phishing?

Muchos son los servicios que se han visto afectados por el phishing, desde instituciones públicas como la Agencia Tributaria y Servicio de Correos y Telégrafos, pasando por Fuerzas y Cuerpos de Seguridad del Estado como la Policía o la Guardia Civil hasta empresas privadas como Dropbox, Microsoft, Apple, Iberia... y por supuesto entidades bancarias como nosotros. En más de una ocasión hemos detectado que nuestra marca ha sido utilizada por ciberdelincuentes para intentar robar las claves de acceso al servicio de banca online, así como otros datos bancarios (número de tarjeta de crédito, CVV, tarjeta de coordenadas, PIN, etc.) de clientes.

Ser víctima de cualquier tipo de phishing puede ocasionarte graves problemas, principalmente de privacidad, pero caer en la trampa de un phishing bancario puede ser aún más doloroso, ya que te podría llegar a suponer una pérdida económica importante.

Cómo evitar estafas por internet

Las estafas online pueden venir de sitios que parecen confiables. Aprende a protegerte.

El proceso de phishing

El proceso se resume en estos pasos:

El ciberdelincuente selecciona la marca a la que va a suplantar.
A continuación, tras determinar qué información quiere obtener del usuario, selecciona el medio a través del cual va a difundir su falso mensaje.
Crea un mensaje que suele ser alarmista y provoca en el usuario una reacción, normalmente hacer clic en un enlace que se facilita o descargar y ejecutar un fichero adjunto.
Después, redirige al usuario víctima a una página web falsa, que es prácticamente igual o muy parecida a la legítima del servicio suplantado.
El usuario, pensando que se encuentra en el sitio oficial, acabará rellenando los distintos formularios que se le faciliten en la web maliciosa.
Finalmente, los datos capturados serán almacenados en algún servidor remoto controlado por los ciberdelincuentes y utilizados posteriormente para llevar a cabo acciones fraudulentas: suplantar la identidad de alguien, cometer otros delitos en su nombre, secuestrar cuentas de usuario, robo de dinero, envío de spam, etc.

¿Cómo puedo evitar ser víctima del phishing?

El correo electrónico es el medio más utilizado por los ciberdelicuentes para atacarte con las técnicas del phishing. Éstas son algunas de las medidas que puedes tomar para evitar el phishing y las estafas por internet:

Averigua siempre quién te envía los correos electrónicos: Si no conoces al remitente o el dominio no coincide con la empresa o servicio que dice ser puedes estar ante un caso de phishing. Por ejemplo, si recibes un correo en nombre del Santander, y el domino del email no incluye el nombre del banco, es sospechoso. De la misma forma que también lo es si el correo que te llega está utilizando un servicio de correo gratuito como Gmail, Outlook, Yahoo!, etc.
Desconfía de asuntos alarmistas: El asunto suele ser muy llamativo o solicitar alguna acción de manera urgente. Algunos ejemplos que pueden ayudarte: “Tiene un mensaje nuevo de seguridad”, “Detectados movimientos sospechosos”, “Eliminación de cuentas inactivas”, “Ha recibido una notificación”, “Tienes un paquete esperando”, etc.
Fíjate en la redacción y ortografía: Los correos de phishing suelen tener frases mal construidas o sin sentido, palabras con símbolos o caracteres extraños, faltas de ortografía, etc. Un servicio con buena reputación se asegurará de que tanto la estructura y diseño del correo como su contenido sea correcto, ya que la imagen que se trasmite a los usuarios es un aspecto muy importante para cualquier servicio que se precie. Pero ojo, que también los ciberdelincuentes van mejorando sus prácticas, así que si te encuentras un mensaje sospechoso con una perfecta redacción, asegúrate de haber verificado el resto de pistas antes de darlo por bueno.
Busca signos de personalización: Un mensaje de phishing está poco o nada personalizado. Comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, son indicios que te deben poner alerta. Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado que pueda saber el nombre de todas ellas. Por eso utilizan fórmulas genéricas como las mencionadas.
Desconfía cuando soliciten tus datos personales o bancarios: Ya sean llamadas o correos electrónicos que soliciten tu firma electrónica completa, no es común solicitar datos a través de estas vías por el riesgo que implican los fraudes y estafas.
En nuestro caso, con la aplicación de la normativa de SCA para e-commerce, en algunas oportunidades te enviaremos a tu teléfono móvil un mensaje/notificación con un link que te redirigirá a la página de identificación del Banco. Allí te solicitaremos la clave de acceso que usas para acceder a tu Banca Online o el PIN de la tarjeta, si no tienes contrato de Banca Digital. Descubre aquí más de esta normativa.
Antes de hacer clic, fíjate en la dirección del enlace: La intención de los delincuentes es que pinches en un enlace para llevarte a un sitio web fraudulento en lugar de a la página legítima. Por tanto, es importante comprobar que el enlace es fiable. Para ello, puedes situar el puntero del ratón encima del botón o del enlace y observar la dirección que se muestra en la parte inferior izquierda del navegador o de tu cliente de correo. Si lo que ves es sospechoso, ¡no hagas clic!
No descargues ficheros sin fijarte en la extensión: Si el mensaje que recibes te invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo en esta línea “nombredelfichero.doc.zip”, o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se te ocurra descargarlo o es más que probable que tus dispositivos acaben infectados. En cualquier caso, si confías en la fuente y optas por la descarga del fichero, analízalo siempre con un antivirus antes de abrirlo y ejecutarlo.

¿Qué hacer si ya es demasiado tarde y has caído en la trampa?

Puede ocurrir. No serías ni el primero ni el último: en esta ocasión no te has dado cuenta de que estabas ante un intento de fraude has hecho lo que te pedía el mensaje. Si estás en esta situación lo más importante es tomar conciencia de ello, actuar con serenidad y sentido común, analizando lo que acabas de hacer y actuando en consecuencia.

Si has facilitado datos bancarios (número de tarjeta, PIN, CVV, tarjeta de coordenadas, etc.) lo primero que tienes que hacer es contactar con tu banco y explicar lo sucedido para que tomen las medidas reactivas que correspondan y mitiguen al máximo las posibles consecuencias del phishing. Si eres cliente del Santander, contacta cuanto antes con Superlínea en el 915 123 123.

Del mismo modo debes actuar si, en lugar de datos bancarios, lo que te han solicitado es otro tipo de información privada: contacta con el servicio que corresponda y notifica la situación para que en caso de problemas, puedas demostrar que fue por este motivo.

Como medida complementaria, debes monitorizar con cierta periodicidad, lo que internet sabe de ti, para ver si los delincuentes están haciendo uso de esos datos sin tu consentimiento. Y en el caso de las cuentas bancarias nunca está de más que consultes tus movimientos con frecuencia. Así podrás detectar a tiempo cualquier movimiento sospechoso.

Por otro lado, si se ha infectado tu dispositivo, tendrás que proceder a su desinfección. Si tienes problemas en esto, puedes acudir a la web de la OSI donde encontrarás muy bien explicados los pasos que debes seguir y que, además, te pueden ayudar en esta tarea a través de su teléfono de Atención 017.

Finalmente, te recomendamos denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), para que con todas las pruebas del delito tomen las medidas que correspondan para dar caza a los ciberdelincuentes.