Phishing – El nuevo método utilizado por los ciberdelincuentes

¿Te sientes seguro mientras navegas por internet o gestionas tu correo electrónico? ¿Sabes lo que es el phishing?

¿Has oído hablar en alguna ocasión del envío masivo de emails maliciosos, de la visita de páginas web falsas y del peligro que esto conlleva?

En este artículo explicaremos en qué consiste el phishing y cómo podemos evitar ser víctimas de algún fraude relacionado con este método de obtención de datos.

Si quieres profundizar en el tema de las amenazas cibernéticas puedes echar también un vistazo al siguiente artículo.

 

En todo el mundo y en particular en España, el crecimiento de los ciberdelitos o delitos informáticos ha sido espectacular y este crecimiento va en aumento día a día.

En este sentido, uno de los ciberdelitos más utilizados es el phishing.

 

¿ Qué es el Phishing ?

El phishing es uno de los métodos más utilizados por los ciberdelincuentes para obtener, de manera fraudulenta, datos críticos de la persona atacada.

Estos datos pueden ser:

• Numeración de tarjeta bancaria;
• Número de cuenta;
• Claves de cuenta bancaria;
• Datos personales (Dirección, DNI, número de seguridad social, fecha de nacimiento,…);
• Contraseñas;
• En resumen, cualquier dato personal que se te pueda pasar por la mente.

Para conseguir dichos datos, el ciberdelincuente (“phisher” en el caso de phishing) se hace pasar por una entidad o persona de confianza.

Intenta que, accediendo a una página web falsa, introduzcas todos estos datos creyendo que es una página en la que puedes confiar.

Estos enlaces a dichas páginas pueden provenir de varias fuentes como por ejemplo:

• Correos electrónicos (Emails)
• Whatsapp
• SMS/MMS
• Redes Sociales
• Llamadas telefónicas

Una vez que se ha llevado a cabo el phishing se pueden usar estos datos para:

• Suplantación de identidad
• Robo de cuentas bancarias
• Robo de cuentas de correo electrónico
• Acceso a sitios personales (redes sociales, red de trabajo,…)
• Robo de objetos personales en domicilio
• …

 

Trucos para evitar el phishing

A continuación se muestran una serie de consejos o trucos para evitar que seamos víctimas de phishing:

1. Tener mucho cuidado con los emails que llegan y que dicen ser de servicios bastante conocidos o entidades bancarias (Ej: LaCaixa, Correos, Hacienda, Facebook, Santander, Twitter, Dropbox,…) sobre todo cuando dichos mensajes no sean esperados y su contenido sea extraño.
2. Dudar de mensajes que empiecen con “Estimado Cliente”, “Hola amigo”, “Querido usuario”, ya que supone un indicativo de la falsedad del remitente.
3. Huye del alarmismo. Si te piden hacer algo de forma urgente es una señal de este tipo de ataques.
4. Comprueba que el texto del enlace facilitado se corresponde con la dirección donde está apuntando y que la URL pertenezca al dominio del servicio legítimo.
5. Normalmente las entidades serias utilizan su propio dominio para el envío de emails. Desconfía si la fuente de dicho email utiliza dominios como Outlook, Gmail, Yahoo,…
6. Si existen faltas gramaticales en el mensaje es un claro ejemplo de mensaje peligroso ya que ninguna entidad o persona que tenga cierta reputación mandará emails con faltas ortográficas.

 

Como saber si existe phishing en los mensajes

Uno de los objetivos principales que queremos transmitir en este artículo es el saber cuándo podemos estar siendo atacados por phishing y de esa forma no caer en la trampa.

Existen varios puntos importantes a la hora de comprobar que un mensaje proviene de una fuente fiable y no tiene un objetivo malicioso.

Siguiendo estos pasos podemos llevar a cabo dicha comprobación:

Comprobar contenido de mensaje

Para comprobar que un mensaje es de tipo phishing lo primero que tenemos que hacer es comprobar sobre qué nos están escribiendo en el cuerpo del mensaje.

Por norma general siempre intentan asustar al destinatario e intentan que realicen una acción trasladándolos a una página web falsa en el que introduzcan datos personales, número de cuentas, claves bancarias, …

Es común añadir excusas del tipo “por problemas técnicos” o “por razones de seguridad”.

^{Fuente: https://www.osi.es (Oficina de Seguridad del Internauta)}

¿Se escribe correctamente?

En la imagen anterior podemos comprobar que existen varias faltas ortográficas como por ejemplo:

• Gramáticos (n en vez de ñ)
• De puntuación (acentos, puntos, comas,…)
• Semánticos (Cambio de artículos “el” y “la”)
• Simbológicos (Palabras con símbolos extraños Ej: “DescripciÃ?n”)
• Frases construidas incorrectamente

Una entidad o empresa jamás enviará un email con faltas ortográficas por lo que su revisión es muy importante en la búsqueda del phishing.

 

Destinatario del mensaje

Como hemos comentado anteriormente, hay que comprobar cómo se dirigen a nosotros en el mensaje.

Suele ser habitual el uso de fórmulas como “Estimado Cliente”, “Hola amigo”, “Querido usuario” para llegar a la mayor cantidad posible de personas.

Si una entidad conocida nos manda un email real, siempre será un email personalizado, en el que se incluya nuestro nombre (a veces apellidos) e incluso parte de nuestro DNI como señal de certificación.

^{Fuente: https://www.osi.es (Oficina de Seguridad del Internauta)}

Urgencia del mensaje

Mediante el uso de frases alarmantes se persigue que caigamos en la trampa.

Es muy habitual que nos indiquen que, en un periodo muy corto de tiempo, realicemos una acción o de lo contrario habrá ciertas consecuencias.

Debido a esta urgencia, pretenden que, alarmados, hagamos todo lo que nos piden y no nos paremos a pensar si se trata de una estafa.

^{Fuente: https://www.osi.es (Oficina de Seguridad del Internauta)}

 

Fiabilidad del enlace a seguir

Tenemos la costumbre de, cuando pinchamos en un enlace, no mirar la dirección URL a la que nos está dirigiendo y si esta tiene relación o no con la descripción del enlace.

Para poder comprobarlo basta con situar el cursor del ratón encima del enlace y mirar la parte inferior izquierda del navegador donde se indica la URL a la que nos lleva.

Mediante el uso de esta técnica podemos evitar muchos problemas (no solo de phishing) ya que el texto del enlace y el remitente deben tener relación con la URL.

^{Fuente: https://www.osi.es (Oficina de Seguridad del Internauta)}

 

Remitente del mensaje

Hay que comprobar la dirección de correo del remitente en busca de algo que nos pueda hacer dudar.

Como dijimos anteriormente, las compañías que tienen cierto prestigio utilizan un servidor de correo con dominio propio.

Por lo tanto, si compruebas que el email del remitente (dominio) no tiene relación con la empresa en cuestión, sospecha de ello.

^{Fuente: https://www.osi.es (Oficina de Seguridad del Internauta)}

 

¿ Qué hacemos sí ya hemos sido víctima de phishing ?

Una vez que ya hemos sufrido este fraude debemos intentar, en la medida de lo posible, que sus efectos sean lo menos dañinos posibles.

Para ello, lo primero es recopilar toda la información posible sobre dicho ataque (emails, SMS, enlaces, dominios, documentos enviados,…

Posteriormente, tendríamos que:

• Si hemos sufrido un phishing bancario, deberemos de contactar o acudir a nuestro banco para avisar de dicho ataque y que se lleve a cabo todas las medidas de protección posibles (bloqueo de cuenta, cambio de claves, retirada de dinero,…)
• Presentar una denuncia en la Policía o Guardia Civil para que se lleve a cabo una investigación y se tomen las medidas oportunas.

 

Ser precavido, clave de nuestra ciberseguridad

Tanto en la seguridad informática como en la seguridad de nuestra vida lo principal es ser precavido, es decir, no creerse todo lo que nos dicen, mandan o escriben.

Para ello, es clave tener la cabeza fría y no actuar instintivamente.

Siempre que te llegue un email, tómate unos minutos siguiendo los consejos dados en este artículo y de esa manera conseguirás evitar el fraude mediante phishing.

Si te ha interesado este artículo y quieres ver otros artículos escritos por mi, aquí te dejo el enlace a mi perfil.