Internet y las nuevas tecnologías nos han traído muchas cosas buenas, pero también llevan aparejados una serie de riesgos frente a los que tenemos que estar precavidos. En los últimos años el número de delitos de phishing ha aumentando, por lo que conviene conocer esta figura para estar al tanto de cómo podemos evitar ser víctimas de este ciberdelito.
¿Qué es el phishing? Conoce las características de esta práctica
Se trata de una práctica delictiva que usa la técnica de la suplantación de identidad para obtener tus datos personales.
Busca engañar a la víctima para que sea esta misma la que dé acceso al delincuente a su información confidencial. En la mayoría de los casos lo que buscan los hackers es tener acceso a la información de las cuentas bancarias para poder robar el dinero.
El phishing bancario: ¿cómo intentan robar tus cuentas?
La obtención de datos personales de la víctima puede hacerse con diferentes finalidades. Por ejemplo, obtener fotos o vídeos comprometidos suyos para realizar después un chantaje.
Pero lo cierto es que en la mayoría de los casos se trata de un phishing bancario en el que el delincuente quiere engañar a la víctima haciéndose pasar por su banco para obtener sus datos y claves de acceso y poder sacar luego dinero de sus cuentas.
En la mayoría de estos casos el delito sigue el siguiente esquema:
Primero la víctima recibe un correo electrónico o un SMS que supuestamente procede de una entidad bancaria.
Aunque hay casos que son fácilmente detectables como intentos de estafa, los delincuentes son cada vez más cuidadosos y se intenta que el mensaje que llega a la futura víctima sea lo más fiel posible a un mensaje que podría mandar un banco, usando su logo, el mismo tipo de letra, etc.
Normalmente en el mensaje se indica al receptor que ha habido algún tipo de problema con su cuenta y que es necesario que acceda a la web para solucionarlo.
El propio mensaje lleva el link que debe seguir el usuario. Al pincharlo, el sujeto es redirigido a una web que en realidad no es la página real de esa entidad bancaria. Allí operará normalmente indicando sus datos personales e incluso sus claves de acceso, momento que aprovechará el delincuente que ha enviado el mensaje para quedarse con toda esa información. Entonces, podrá tener acceso a las cuentas corrientes de su víctima y vaciarlas antes de que esta se dé cuenta de lo que ha ocurrido.
¿Cuáles son los ejemplos más comunes?
El caso de los bancos es muy frecuente, pero es habitual que los delincuentes utilicen el nombre de otras empresas grandes para intentar estafar. Los mensajes pueden llegar a nombre de compañías de la luz, de PayPal, de Netflix, de Amazon, etc.
Al ser empresas grandes es bastante probable que el receptor sea o haya sido cliente de ellas en algún momento, por lo que tiene más posibilidades de caer en la trampa. Algunos incluso intentan hacerse pasar por la propia Agencia Tributaria asegurando a su víctima que debe indicar un número de cuenta para que Hacienda le devuelva una determinada cantidad de dinero.
Pero el funcionamiento siempre es el mismo. Se nos avisa de que hay algún problema y se nos invita a pinchar en un link, una vez que lo hacemos aterrizamos en una web en la que nos van a pedir datos personales de algún tipo.
También puede ocurrir que después de pinchar en el link no se nos pida más información. En este caso quiere decir que es posible que al hacer clic hayamos permitido a algún tipo de malware instalarse en nuestro dispositivo, lo que le dará acceso a mucha más información personal.
Diferencias entre ataques de phishing y malware
El phishing es un ataque diseñado para obtener datos personales de la víctima y tener así acceso a sus cuentas bancarias, sus redes sociales, WhatsApp, etc.
Mientras que el malware es un software malicioso que toma el control del ordenador para extraer datos e incluso para seguir infectando otros equipos informáticos. El malware puede formar parte de un ataque de phishing, pero también puede operar de forma independiente.
Cómo evitar el phishing informático
Ahora que sabemos en qué consiste este delito, es hora de tomar medidas para evitar ser víctimas de él. Aquí tienes unos consejos:
- Revisa la seguridad de tu ordenador, mantén actualizado tu antivirus y usa siempre la versión más actualizada tanto de los navegadores web como del sistema operativo de tu equipo.
- No hagas clic en el enlace de ningún correo electrónico, por mucha seguridad que te ofrezca. Si tienes que ir a una web hazlo desde la Url del navegador.
- Recuerda que ninguna empresa ni banco te va a pedir jamás a través de correo electrónico o SMS que le des tus datos personales.
- Si has recibido una comunicación y tienes dudas, visita la web del remitente y formula allí tu consulta para saber si ese mensaje proviene realmente de esa empresa.
- Revisa periódicamente tus cuentas bancarias para asegurarte de que todo está en orden y no se ha producido ninguna transacción irregular.
- Si tienes redes sociales abiertas revísalas de forma periódica para comprobar que nadie está haciendo publicaciones en tu nombre.
- Usa una contraseña diferente para cada servicio online y cámbialas de forma periódica. Existen gestores o administradores de contraseñas que te pueden ayudar en esta tarea.
- Si has recibido un documento sospechoso ábrelo en Google Drive. Así se convierte en una imagen o un documento HTML y será más complicado que instale software malicioso.
- Ante cualquier tipo de duda, no hagas nada con el correo, ni lo reenvíes, ni lo contestes ni hagas clic en ningún enlace.
- Avisa a la empresa de la que se supone que proviene el correo para que tenga constancia de que se está usando su nombre para delinquir y que pueda así emitir un aviso.
Pasos para denunciar
Puedes denunciar estos delitos sin salir de casa. Como acabamos de señalar, una buena forma de dar la alerta es contactar con la empresa que se supone que manda el mensaje e informarle sobre lo ocurrido. Esta tomará medidas y avisará públicamente para que nadie sea víctima del delito.
La otra opción es que contactes con la Unidad de delitos Telemáticos de la Guardia Civil o de la Policía. Este tipo de denuncias puedes hacerlas directamente online.
Guarda el correo electrónico e informa a las Fuerzas y Cuerpos de Seguridad del Estado para que ellas a su vez investiguen y emitan un aviso para prevenir a posibles víctimas.
Protege tus perfiles sociales en Facebook e Instagram
Hay muchas razones por las que un delincuente puede querer tus claves de redes sociales: para hacerse pasar por ti con ánimo de trolear a tus amigos y conocidos, para tener acceso a información privada sobre ti o incluso para usar tu cuenta con fines delictivos.
Ten en cuenta que ni Facebook ni Instagram ni ninguna otra red social te va a pedir tus claves nunca mediante un correo electrónico o un SMS. No le des tu clave a nadie y cambia tus contraseñas de vez en cuando. Además, no uses la misma contraseña en más de una red social a la vez.
¿Cómo se produce el phishing desde Gmail?
El servicio de correo de Google es tan usado a nivel mundial que no es de extrañar que sea uno de los que más ataques de phishing recibe.
En estos casos a veces se utiliza la cuenta de correo de alguien a quien conoces, para que no dudes de su legitimidad.
El correo suele llevar un archivo adjunto y es al clicar sobre él cuando se produce el ataque, ya que para la descarga nos va a pedir nuestra contraseña y, como no hemos sospechado nada, se la vamos a dar.
Sin que seamos conscientes de ello hemos dado acceso al delincuente a nuestra cuenta de correo y ahora estará usando nuestra dirección para mandar mensajes a nuestros contactos y obtener a la vez sus datos.
Pero la cosa se puede complicar todavía más. Si esa cuenta de Gmail es la que tenemos para acceder a nuestras redes sociales o al servicio de hosting donde tenemos alojado nuestro blog, el delincuente puede acceder a todo ello de forma inmediata.
Otros consejos para reconocer el phishing y el spam
Aunque el spam es menos nocivo que el phishing, tampoco es agradable estar recibiendo constantemente publicidad que no nos interesa para nada.
Los especialistas aconsejan que para no ser víctimas de fraudes online prestemos siempre mucha atención a las webs a las que nos redirigen los mensajes. Lo ideal sería que no hiciéramos clic, pero si lo hemos hecho, antes de hacer nada más hay que comprobar que la web sea realmente la de la empresa.
Hay webs clonadas tan bien que son casi indistinguibles de las originales, pero siempre hay algún pequeño cambio en la url que nos puede hacer dudar. Por ejemplo, que la url en lugar de ser www.amazon.com sea wwwamazon.com.
Por otro lado, revisa bien el mensaje que has recibido. Es normal que haya errores de ortografía o de gramática que deberían ponerte sobre alerta. Un caso típico es un correo en el que las palabras que deberían llevar Ñ usen una N en su lugar.
Piensa que una empresa seria o incluso una Administración Pública nunca te van a enviar una comunicación descuidada y con errores.
Por último, desconfía si el mensaje intenta venderte una sensación de urgencia, con mensajes tipo: “accede a tu cuenta en la próxima hora o todos tus datos se perderán”. Lo que buscan es que actúes por impulso y no tomes precauciones.
El phishing está a la orden del día y se vuelve cada vez más sofisticado. Pero con un poco de cuidado por nuestra parte, y siguiendo estos consejos, podemos evitar ser víctimas de él.
12 Preguntas Frecuentes sobre el Phishing
1. ¿Qué es exactamente el phishing?
El phishing es una técnica de engaño empleada por ciberdelincuentes con el objetivo de obtener información confidencial, como contraseñas, datos de tarjetas de crédito, información bancaria y otros detalles personales. Esta táctica generalmente implica la creación de un mensaje o sitio web fraudulento que imita a una entidad confiable, como un banco o una red social. El atacante envía mensajes, normalmente correos electrónicos, intentando persuadir al destinatario para que haga clic en un enlace, descargue un archivo o proporcione información personal. Una vez que el usuario sigue las indicaciones del atacante, sus datos quedan comprometidos y pueden ser utilizados para fines maliciosos, como fraudes financieros o robos de identidad.
2. ¿Cómo puedo identificar un intento de phishing?
Identificar un intento de phishing puede ser un desafío debido a la sofisticación de algunos ataques, pero aquí te dejo algunas señales comunes a las que debes prestar atención:
- Direcciones de correo electrónico sospechosas: A menudo, los correos electrónicos de phishing provienen de direcciones que intentan imitar las oficiales, pero con ligeras variaciones o errores ortográficos.
- Solicitudes urgentes: Los mensajes suelen tener un tono de urgencia, presionando al destinatario a actuar rápidamente.
- Errores gramaticales y ortográficos: Aunque no todos los ataques de phishing presentan errores, muchos tienen fallos gramaticales o de ortografía.
- Enlaces engañosos: Pasar el cursor sobre un enlace (sin hacer clic) puede revelar a dónde te dirigirá realmente. Si la dirección del enlace parece extraña o no coincide con la entidad que supuestamente envió el correo, desconfía.
- Solicitudes de información personal: Las entidades legítimas, como tu banco, generalmente no te pedirán que proporciones información confidencial a través de un correo electrónico.
3. ¿Por qué es tan importante protegerse contra el phishing?
Protegerse contra el phishing es esencial debido a la naturaleza invasiva y destructiva de estos ataques. Al caer en un intento de phishing, los individuos no solo corren el riesgo de perder dinero o ser víctimas de fraude financiero, sino que también pueden enfrentar daños a su reputación, pérdida de privacidad y un largo proceso de recuperación de la identidad. Además, las empresas también pueden sufrir brechas de datos, lo que puede resultar en sanciones legales, pérdida de confianza de los clientes y daños a la reputación de la marca. En resumen, el phishing puede tener consecuencias devastadoras tanto a nivel personal como profesional, por lo que es crucial tomar medidas preventivas.
4. ¿Qué tipo de información buscan los ciberdelincuentes con el phishing?
Los ciberdelincuentes que emplean tácticas de phishing suelen buscar una variedad de información personal y financiera. Algunos de los datos más buscados incluyen:
- Contraseñas y nombres de usuario.
- Datos de tarjetas de crédito o débito (números, fechas de vencimiento, códigos CVV).
- Información bancaria, como números de cuenta y códigos de acceso.
- Información de identificación personal, como números de seguridad social, fechas de nacimiento y direcciones.
- Datos de cuentas de servicios en línea (por ejemplo, plataformas de streaming, tiendas en línea).
Estos datos permiten a los ciberdelincuentes realizar operaciones fraudulentas, robar identidades o vender la información en el mercado negro.
5. ¿Todos los intentos de phishing vienen por correo electrónico?
No, aunque el correo electrónico es una de las herramientas más comunes para los ataques de phishing, no es la única. Los ciberdelincuentes también utilizan:
- SMS phishing (o smishing): Es cuando recibes mensajes de texto en tu móvil que intentan engañarte para que compartas información personal.
- Vishing (phishing por voz): Es un ataque a través de llamadas telefónicas donde los estafadores se hacen pasar por representantes legítimos para obtener datos.
- Phishing en redes sociales: Donde los atacantes usan perfiles falsos o mensajes directos para engañar a las víctimas.
- Phishing en aplicaciones de mensajería: Como WhatsApp o Telegram, donde se comparten enlaces o archivos maliciosos.
Es crucial estar alerta en todos los canales de comunicación para no caer en estas tácticas.
6. ¿Cómo afecta el phishing a los dispositivos móviles?
Los dispositivos móviles, como smartphones y tablets, son objetivos frecuentes de ataques de phishing debido a su popularidad y al hecho de que muchas personas los usan para acceder a sus cuentas personales y financieras. Algunos de los riesgos incluyen:
- Smishing: Como se mencionó anteriormente, es una forma de phishing que utiliza mensajes de texto para engañar a las víctimas.
- Aplicaciones maliciosas: A veces, los atacantes distribuyen aplicaciones que imitan a las legítimas para robar datos.
- Enlaces maliciosos en aplicaciones de mensajería: Los atacantes pueden enviar enlaces que, al ser abiertos, instalan malware o redirigen a sitios de phishing.
- Wi-Fi no seguro: Conectar el dispositivo a redes Wi-Fi públicas puede exponerlo a ataques de phishing intermedio, donde el atacante intercepta la comunicación.
Es esencial mantener los dispositivos móviles actualizados, ser cauteloso al descargar aplicaciones y evitar hacer clic en enlaces o descargar archivos de fuentes desconocidas.
7. ¿Qué es el spear phishing y en qué se diferencia del phishing común?
El spear phishing es una forma de phishing que está dirigida específicamente a individuos o empresas en particular. A diferencia del phishing común, que se dispersa a una amplia audiencia con la esperanza de que algunas víctimas caigan en la trampa, el spear phishing es altamente dirigido y se basa en la investigación previa sobre la víctima. Los ciberdelincuentes pueden usar información personal que han recolectado, como el nombre, el cargo, los colegas y otros datos, para hacer que el mensaje parezca más legítimo y convincente.
8. He hecho clic en un enlace sospechoso, ¿qué debo hacer ahora?
Si has hecho clic en un enlace que consideras sospechoso, sigue estos pasos:
- Cambia inmediatamente tus contraseñas, especialmente las de las cuentas más importantes como correo electrónico, bancarias y redes sociales.
- Realiza un escaneo completo con tu software antivirus y antimalware para detectar posibles amenazas.
- Si has descargado algún archivo, no lo abras y elimínalo de inmediato.
- Controla tus cuentas bancarias y tarjetas de crédito para detectar cualquier actividad sospechosa.
- Considera activar la autenticación de dos factores en tus cuentas para añadir una capa extra de seguridad.
- Infórmate y mantente al día sobre las últimas tácticas de phishing para estar más preparado en el futuro.
9. ¿Los software antivirus pueden protegerme del phishing?
Sí, muchos programas antivirus modernos incluyen características diseñadas para proteger contra el phishing. Estas soluciones pueden:
- Identificar y bloquear sitios web de phishing conocidos.
- Analizar enlaces en correos electrónicos y alertarte si parecen sospechosos.
- Proteger tus datos personales y financieros evitando que sean compartidos con sitios no seguros.
Sin embargo, es importante recordar que ningún software es infalible. La mejor protección contra el phishing es la educación y el escepticismo saludable. Siempre verifica los enlaces y las solicitudes de información personal antes de actuar.
10. ¿Cómo puedo educar a otros sobre los peligros del phishing?
Educar a otros sobre el phishing es esencial para prevenir posibles ataques. Aquí tienes algunas recomendaciones:
- Organiza talleres o seminarios sobre seguridad cibernética.
- Comparte recursos educativos, como artículos, infografías y vídeos sobre el phishing.
- Utiliza ejemplos reales de intentos de phishing para mostrar cómo identificarlos.
- Recomienda herramientas y extensiones de navegador que ayuden a detectar sitios de phishing.
- Fomenta la cultura de no hacer clic en enlaces o descargar archivos de correos electrónicos desconocidos.
11. ¿Qué medidas adicionales puedo tomar para asegurar mi información personal en línea?
Asegurar tu información personal en línea es fundamental. Aquí tienes algunos consejos adicionales:
- Utiliza contraseñas fuertes y únicas para cada cuenta y actualízalas regularmente.
- Habilita la autenticación de dos factores siempre que sea posible.
- Evita usar redes Wi-Fi públicas para transacciones sensibles o ingresar a cuentas importantes.
- Actualiza regularmente el software, navegadores y sistemas operativos.
- Limita la cantidad de información personal que compartes en redes sociales.
12. ¿Dónde puedo reportar intentos de phishing?
Si sospechas que has sido objetivo de un intento de phishing, es importante reportarlo. Puedes hacerlo en:
- El Grupo de Delitos Telemáticos de la Guardia Civil o el cuerpo policial correspondiente en tu localidad.
- La plataforma Anti-Phishing Working Group (APWG) que recopila y analiza intentos de phishing a nivel mundial.
- Al departamento de seguridad o soporte técnico de la empresa que supuestamente te ha enviado el correo.
- La Oficina de Seguridad del Internauta (OSI) ofrece recursos y guías sobre cómo actuar ante estos incidentes.