Qué es el phishing y como protegerte. Seguridad ON. Incibe_OSI

En nuestro día a día, cada vez más, utilizamos Internet como medio para estar informados, realizar compras online, establecer relaciones sociales, realizar trámites bancarios, etc. Cada vez resulta más difícil imaginar situaciones como, por ejemplo, que una persona no tenga un teléfono móvil con Whatsapp para chatear, que no se haya creado un perfil en alguna red social o que no use el buscador Google para encontrar información de su interés.

La tecnología evoluciona para hacernos la vida más fácil, pero su uso nos expone a algunos riesgos que debes conocer para evitar problemas. El phishing, o lo que es lo mismo, la suplantación de servicios de Internet por parte de los ciberdelincuentes, es uno de esos riesgos. Lamentablemente existen personas, bandas y mafias en general que intentan engañarte mientras navegas por Internet con tus dispositivos, para llevar a cabo distintas acciones maliciosas, como la que te contamos en este artículo.

¿Qué es el phishing y cuál es su objetivo?

El phishing es un intento de suplantación de identidad: los ciberdelincuentes se hacen pasar por una empresa, institución o servicio conocido y con buena reputación para engañarte y conseguir robarte tus datos privados, credenciales de acceso o datos bancarios. Esta práctica fraudulenta se apoya en la ingeniería social y está muy extendida. En ocasiones el phishing también se usa para infectar los dispositivos con algún tipo de malware (programa malicioso)..

¿Cómo puede llegar hasta nosotros un caso de phishing?

La mayoría de casos de phishing se distribuyen a través del correo electrónico ya que los ciberdelincuentes cuentan con un gran número de direcciones de email que han recopilado de muy diversas formas. Por tanto, les resulta relativamente sencillo utilizar este medio para difundir sus ataques de phishing. No obstante, también hay otros medios de propagación como:

  • Las redes sociales, a través de la creación de perfiles y páginas falsas.
  • Envío de mensajes SMS/MMS a números de teléfonos móviles. Esta práctica se conoce como Smishing.
  • Llamadas telefónicas, tanto a teléfonos móviles como fijos.

¿Cuáles son las empresas, instituciones o servicios más utilizados en el phishing?

Muchos son los servicios que se han visto afectados por el phishing, desde instituciones públicas como la Agencia Tributaria y Servicio de Correos y Telégrafos, pasando por Fuerzas y Cuerpos de Seguridad del Estado como la Policía o la Guardia Civil hasta empresas privadas como Dropbox, Microsoft, Apple, Iberia… y por supuesto entidades bancarias como nosotros. En más de una ocasión hemos detectado que nuestra marca ha sido utilizada por ciberdelincuentes para intentar robar las claves de acceso al servicio de banca online, así como otros datos bancarios (número de tarjeta de crédito, CVV, tarjeta de coordenadas, PIN, etc.) de clientes.

Ser víctima de cualquier tipo de phishing puede ocasionarte graves problemas, principalmente de privacidad, pero caer en la trampa de un phishing bancario puede ser aún más doloroso, ya que te podría llegar a suponer una pérdida económica importante.

Todo lo anterior está claro, pero ¿cómo consiguen robar tus datos?

El proceso se resume en estos sencillos pasos:

  1. El ciberdelincuente selecciona la marca a la que va a suplantar.
  2. A continuación, tras determinar qué información quiere obtener del usuario, selecciona el medio a través del cual va a difundir su falso mensaje.
  3. El mensaje redactado suele ser alarmista y provoca en el usuario una reacción, normalmente hacer clic en un enlace que se facilita o descargar y ejecutar un fichero adjunto.
  4. Después, redirige al usuario víctima a una página web falsa, que es prácticamente igual o muy parecida a la legítima del servicio suplantado.
  5. El usuario, pensando que se encuentra en el sitio oficial, acabará rellenando los distintos formularios que se le faciliten en la web maliciosa.
  6. Finalmente, los datos capturados serán almacenados en algún servidor remoto controlado por los ciberdelincuentes y utilizados posteriormente para llevar a cabo acciones fraudulentas: suplantar la identidad de alguien, cometer otros delitos en su nombre, secuestrar cuentas de usuario, robo de dinero, envío de spam, etc.

¿Cómo identificar un caso de phishing?

Generalmente los correos de phishing tienen algunas características comunes. Aquí te contamos cuáles son las pistas que deberían hacerte sospechar:

  • No conoces el remitente y/o el dominio no coincide con la empresa o servicio que dice ser. Por ejemplo, si recibes un correo en nombre del Santander, y el domino del email no incluye el nombre del banco, es sospechoso. De la misma forma que también lo es si el correo que te llega está utilizando un servicio de correo gratuito como Gmail, Outlook, Yahoo!, etc.
  • El asunto es muy llamativo y/o solicita realizar alguna acción de manera urgente. Algunos ejemplos que pueden ayudarte: “Tiene un mensaje nuevo de seguridad”, “Detectados movimientos sospechosos”, “Eliminación de cuentas inactivas”, “Ha recibido una notificación”, “Tienes un paquete esperando”, etc.
  • Si la redacción del mensaje no es correcta: frases mal construidas o sin sentido, palabras con símbolos o caracteres extraños, faltas de ortografía, etc. Todo esto son evidencias de que algo no va bien. Un servicio con buena reputación no te suele enviar un correo con tales síntomas. Se asegurará de que tanto la estructura y diseño del correo como su contenido sea correcto, ya que la imagen que se trasmite a los usuarios es un aspecto muy importante para cualquier servicio que se precie. Pero ojo, que también los ciberdelincuentes van mejorando sus prácticas, así que si te encuentras un mensaje sospechoso con una perfecta redacción, asegúrate de haber verificado el resto de pistas antes de darlo por bueno.
  • El mensaje está poco o nada personalizado. Comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, son indicios que te deben poner alerta. Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado que pueda saber el nombre de todas ellas. Por eso utilizan fórmulas genéricas como las mencionadas.
  • Te obligan a tomar una decisión en unas pocas horas, con amenazas de que en caso contrario tendrás algún problema: bloqueo de cuenta, problemas de seguridad, una multa o sanción, etc. Frases como “Si el registro no es realizado dentro de 48 Horas su cuenta será suspendida temporalmente hasta que su registro sea completado”, “Hemos detectado que no ha finalizado correctamente su sesión, por favor, pinche aquí para hacerlo”, “Por mejoras en nuestras políticas de seguridad, por favor, haga clic aquí para cambiar sus claves”, “Ha recibido una notificación pero no se encontraba en casa, descargue el código adjunto para poder ir a recogerlo” son pistas que te pueden ayudar a identificar posibles fraudes.
  • El texto del link facilitado en el correo no coincida con la dirección URL a la que apunta. La intención de los delincuentes es que pinches en un enlace para llevarte a un sitio web fraudulento en lugar de a la página legítima. Por tanto, es importante comprobar que el enlace es fiable. Para ello, puedes situar el puntero del ratón encima del enlace y observar la dirección que se muestra en la parte inferior izquierda del navegador o de tu cliente de correo. Si lo que ves es sospechoso, ¡no hagas clic! Como norma general, además, un banco nunca te enviará un correo electrónico con un enlace a una web donde te solicita datos personales, de tus cuentas o tarjetas.
  • Un documento adjunto tiene más de una extensión o viene en un .zip o .exe. Si a las pistas anteriores le sumamos que el mensaje que recibes te invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo en esta línea “nombredelfichero.doc.zip” o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se te ocurra descargarlo o es más que probable que tus dispositivos acaben infectados. En cualquier caso, si confías en la fuente y optas por la descarga del fichero, analízalo siempre con un antivirus antes de abrirlo y ejecutarlo.

Si ya es demasiado tarde y has caído en la trampa ¿qué tienes que hacer?

Puede ocurrir. No serías ni el primero ni el último: en esta ocasión no te has dado cuenta de que estabas ante un intento de fraude y por tanto, has hecho lo que te pedía un determinado correo o mensaje que te había llegado a través de correo electrónico, SMS o redes sociales. Si estás en esta situación lo más importante es tomar conciencia de ello, actuar con serenidad y sentido común, analizando lo que acabas de hacer y actuando en consecuencia:

Si has facilitado datos bancarios (número de tarjeta, PIN, CVV, tarjeta de coordenadas, etc.) lo primero que tienes que hacer es contactar con tu banco y explicar lo sucedido para que tomen las medidas reactivas que correspondan y mitiguen al máximo las posibles consecuencias del phishing. Si eres cliente del Santander, contacta cuanto antes con Superlínea en el 915 123 123. Del mismo modo debes actuar si, en lugar de datos bancarios, lo que te han solicitado es otro tipo de información privada: contacta con el servicio que corresponda y notifica la situación para que en caso de problemas, puedas demostrar que fue por este motivo. Como medida complementaria, debes monitorizar con cierta periodicidad, lo que Internet sabe de ti, para ver si los delincuentes están haciendo uso de esos datos sin tu consentimiento. Y en el caso de las cuentas bancarias nunca está de más que consultes tus movimientos con frecuencia. Así podrás detectar a tiempo cualquier movimiento sospechoso.

Por otro lado, si el problema es que se ha infectado tu dispositivo, tendrás que proceder a su desinfección. Si tienes problemas en esto, puedes acudir a la web de la OSI donde encontrarás muy bien explicados los pasos que debes seguir y que, además, te pueden ayudar en esta tarea a través de su teléfono de Atención 901 11 11 21.

Finalmente, te recomendamos denunciar los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), para que con todas las pruebas del delito tomen las medidas que correspondan para dar caza a los ciberdelincuentes.

Fuente: https://www.bancosantander.es

Más consejos de Seguridad Online

Deja un comentario