Revista Comunicación

Guía sobre el Phishing

Publicado el 02 mayo 2016 por Corinpave @corinpave

El phishing o suplantación de identidad es una de las amenazas más típicas a la que estamos expuestos los usuarios en Internet.

A pesar de que el término está completamente extendido desde hace muchos años, resulta preocupante comprobar que todavía muchos usuarios no conocen este tipo de engaño.

Por eso, creo que es un buen momento de hacer una  guía sobre qué es el Phishing y cómo protegernos, así como unos consejos para detectarlo y no caer en la trampa.

¿Qué es el Phishing?

Phishing es un término que hace referencia a todo correo electrónico que, aparentando provenir de fuentes fiables (por ejemplo entidades bancarias), intenta obtener datos confidenciales e información personal de forma fraudulenta  para posteriormente utilizarlos para ejecutar algún tipo de fraude.

El phishing es una técnica de ingeniería social, no se aprovechan vulnerabilidades en la tecnología (dispositivos, programas, medidas de seguridad, wifi…) sino que se aprovecha el fallo humano.

Para ello, estos correos electrónicos suelen incluir un enlace que, al ser pulsado, lleva a páginas falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad va a parar a manos del estafador.

¿Dónde se puede encontrar el Phishing?

Esta forma de estafa se encuentra a través de correo electrónico,  pero también se puede encontrar mediante sms, llamadas telefónicas, banners publicitarios, ventanas emergentes o redes sociales.

Lo más habitual es que estos ataques se hagan pasar por entidades bancarias, pero también pueden aparecer como métodos de pago online, redes sociales, páginas de juego online, páginas de entidades públicas, falsas ofertas de empleo, etc.

Normalmente estas estafas vienen de la mano de correos con atractivas pero falsas promociones, peticiones de revisión o actualización de contraseñas por “motivos de seguridad”, actualización de datos personales, cambios de políticas de usuario, la entrega de un paquete… y así hasta dónde llegue la imaginación del ciberdelincuente.

El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada, la recepción de un correo electrónico.

Información vulnerable

En la mayoría de ocasiones, la información a la que quieren acceder los estafadores mediante esta forma de estafa son los datos personales, datos bancarios (números de las tarjetas de crédito)  y credenciales de acceso (contraseñas de redes sociales, cuentas de correo electrónico, etc.).

¿Cómo protegernos?

  • La forma más segura para estar tranquilo y no ser estafado, es que nunca respondas a ninguna solicitud de información personal y privada, a través de correo electrónico, llamada telefónica o mensaje corto (SMS).
  • Ahora bien, ten presente siempre que las entidades bancarias u organismos nunca te solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen tus datos, en todo caso serás tú el que los puede solicitar por olvido o pérdida y ellos te los facilitarán. Ellos nunca te lo van a solicitar porque ya los tienen, es de sentido común.
  • Comprueba que la página Web en la que has entrado es una dirección segura, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
  • Asegúrate de siempre escribir correctamente la dirección del sitio Web que deseas visitar ya que existen cientos de intentos de engaños de las páginas más populares con solo una o dos letras de diferencia.
  • Si sospechas que has sido víctima del Phishing, cambia inmediatamente todas tus contraseñas y ponte en contacto con la empresa o entidad financiera para informarles.
  • Revisa periódicamente tus cuentas para detectar transferencias o transacciones irregulares. También es muy importante asegurar tu ordenador con antivirus.
  • Para visitar la web de una entidad bancaria, teclea la dirección url en la barra de direcciones, nunca accedas por enlaces procedentes de cualquier sitio. Las entidades bancarias contienen certificados de seguridad cifrados y seguros. No tengas miedo al uso de la banca por Internet.

¿Cómo detectarlo?

En el caso de los correos electrónicos,  distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo electrónico, especialmente cuando es efectivamente cliente de la entidad financiera de la que supuestamente proviene el mensaje.

Hay aspectos en los correos electrónicos que son un intento de phishing que se repiten a menudo y en los que debes prestar atención.

  • Suelen usar logos y apariencia igual o parecida a la entidad o empresa suplantada, pero a veces las imágenes son de baja calidad.
  • El remitente puede no ser quien indica el correo: este campo es muy fácil de falsificar.
  • El destinatario eres tú: aunque el email vaya dirigido a ti, puede tener en copia oculta a miles de personas.
  • Contiene una mala redacción: los phishings suelen estar mal escritos o adaptados con traductores automáticos. El email de una empresa seria nunca tendrá faltas de ortografía.
  • Siempre hay un requerimiento: para que mandes datos personales por email o cliques un enlace o rellenes un formulario, junto con una amenaza más o menos sutil de que si no lo haces tendrá una grave consecuencia (te cerrarán la cuenta, borrarán tu perfil, etc.).
  • Solicitud de contraseñas: ninguna empresa te va a pedir jamás datos como contraseñas o número de DNI a través del email.
  • La temática es extraña: es imposible que te toque un coche si no recuerdas haber participado en un sorteo. Desconfía del dinero fácil en Internet.
  • El asunto del email buscará llamar tu atención: la ciberdelincuencia también sabe de marketing.
  • O bien, te prometen cosas demasiado buenas (premios en concursos en los que no has participado, trabajos desde casa ganando mucho dinero, loterías, etc.), o pretenden aprovecharse de tu buena fe y ganas de ayudar ante una catástrofe reciente (terremotos, inundaciones, guerras…) para hacerte donar dinero para la causa (pero el dinero no irá a los necesitados sino a los criminales).
  • Has recibido este correo en una dirección de email que no es la que tienes vinculada a ese servicio: si tú nunca le has dado ese email a tu banco o a Facebook, es imposible que ellos te notifiquen en esa dirección. Piensa que estos emails de phishing se envían a miles de personas, que seas cliente de ese banco o usuario de Facebook es una simple coincidencia (bastante probable).

¿Cómo denunciar el Phishing?

Denunciar en los medios especializados de la Policía cuando seamos testigos o víctimas de algún caso, como en este correo electrónico facilitado por la Policía de España: [email protected].

Utilizar los mecanismos para denunciar los intentos de phishing que recibimos ayuda a combatirlos. Además de la dirección de correo electrónico de la Policía, también es conveniente utilizar este formulario que Google pone a disposición de todo usuario para denunciar este tipo de páginas.

Espero que toda esta información te sea útil y si te ha gustado, no dudes en compartirla en tus redes sociales. Gracias.

“Denunciando los sitios sospechosos estamos haciendo lo correcto sin ningún tipo de implicación legal hacia nuestra persona y evitaremos que otros usuarios puedan ser víctimas de estafa.”


Volver a la Portada de Logo Paperblog