Phishing, una técnica delictiva ¿Cómo puedes protegerte?

Aunque quizá no seas consciente de ello, en los últimos meses es muy probable que hayas sido objeto de un ataque de phishing, un tipo de ciberdelincuencia que resulta bastante lucrativo para quienes están detrás de ellos.

Seguro que en alguna ocasión has recibido un email de una entidad bancaria, compañía telefónica o mensajería de correo solicitándote datos personales, bancarios o contraseñas de acceso a tu cuenta alegando motivos varios.

Uno de los casos más recientes, es un SMS de Correos que informa de un envío que no puede entregarse sin abonar previamente unas tasas de aduana de un euro. El SMS ofrece un link que redirige a una web, que también parece pertenecer a Correos. En esa página, el usuario puede entregar sus datos bancarios para pagar la tasa de aduanas. Pero, por supuesto, todo es falso: el SMS no lo envía Correos, que tampoco es el dueño de la página, la tasa de aduanas no existe y, con los datos bancarios que acabas de desvelar, los estafadores pueden hacer lo que deseen.

¿Cómo puedes prevenir estos ataques y evitar caer en este tipo de engaños? Te damos algunos consejos prácticos.

¿Qué es el phishing?

La palabra phishing es un neologismo que puede traducirse como suplantación de identidad. Es una contracción de las palabras password y fishing, que significa literalmente «pesca de contraseñas». Como su propio nombre indica, quien se dedica al phising lo hace con una intención: conseguir los datos de acceso a tus cuentas. Pero para hacerlo, como todo pescador, necesita un cebo con el que engañar al pez.

En el caso del phishing, el cebo es un email o un mensaje en el que el timador se hace pasar por una entidad (un banco, un ayuntamiento, un ministerio, una empresa de mensajería, una red social, etc) que necesita tus datos para ayudarte o beneficiarte: para hacerte entrega de un premio, para concederte un préstamo, para asegurar tus cuentas del ataque de un hacker, para apuntarte a un club de clientes preferentes o, como en el ejemplo del inicio, para solventar un problema que te impide recibir un paquete.

En ocasiones, las trampas tendidas por este método son fáciles de identificar. Por ejemplo, una entidad bancaria de la que no eres usuario te solicita tus datos… Raro, ¿no?

Entonces, ¿Por qué, a pesar de esto, a los estafadores les merece la pena seguir intentándolo? Es sencillo: porque la técnica del phising a menudo se apoya en la masificación en los envíos. Si un phiser es capaz de mandar 5.000 mails a la semana, y espera obtener 500 euros con cada uno de ellos, con que sólo dos o tres den en la diana y obtengan respuesta, ya han amortizado el esfuerzo.

A veces, el phishing puede ser más creativo o difícil de detectar

Con el incremento del comercio electrónico, es altamente probable que cualquier persona que reciba un SMS en su móvil esté esperando la entrega de un paquete y, en muchos casos, que la empresa que se lo tiene que entregar sea Correos. A partir de aquí, las técnicas se pueden sofisticar hasta donde lleguen la creatividad y la capacidad técnica del asaltante. Por ejemplo:

Vhishing

El voice phishing responde a la necesidad de los estafadores de resolver sistemas de seguridad de doble verificación. Nos referimos a esas transacciones en las que tienes que introducir tu número de tarjeta de crédito y un código numérico que te es enviado por SMS. Algunos timadores, una vez que tienen los datos de tu tarjeta e intentan operar con ella, se atreven a telefonearte haciéndose pasar por tu entidad bancaria para, de forma muy agresiva, con cualquier excusa, conseguir que les entregues ese código numérico.

Smishing

Este es el nombre que se le ha dado al phising que se practica por SMS (como el de nuestro ejemplo inicial) o por Whatsapp. Muchos de ellos tratan de advertirte, en nombre de tu entidad bancaria, de un intento de fraude en tus cuentas, por lo que te piden que te pongas en contacto rápidamente con un teléfono o una página web. Si lo haces, intentarán «pescar» todos tus datos sin que te des cuenta de que son unos impostores.

¿Cómo se puede hacer frente al phishing?

Hay tres momentos claves en los que debes aplicar algunas técnicas para protegerte del phising:

Cuando navegas

Para ser objeto de un ataque de phising, es necesario que los timadores estén en posesión de tu dirección de email o de tu teléfono. Esto te obliga a ser prudente: no dejes estos datos en cualquier sitio. No te suscribas a cualquier cosa, ni te bajes cualquier app que no sea de verdadera utilidad.

Por supuesto, no des tus datos en páginas web que te parezcan sospechosas (confía únicamente en aquellas que comiencen por https), y evita realizar operaciones en las que se expongan tus datos en redes WiFi abiertas.

Cuantas menos veces entregues tus datos, menos posibilidades tendrás de formar parte de un envío masivo de phishing.

Cuando configuras tus dispositivos

Tan importante como tener sentido común es mantener tus dispositivos al día para evitar brechas de seguridad.

Instala las actualizaciones que te solicite el fabricante en tu ordenador y en tu teléfono móvil. Es altamente recomendable, además, disponer de un antivirus y un firewall.

Cuando lees tus emails y SMS

A pesar de lo dicho en los dos puntos anteriores, es altamente probable que un mensaje de phising atraviese la brecha y acabe en tus bandejas de entrada. Por eso es fundamental aprender a reconocerlo:

-Es raro que cualquiera de tus empresas te solicite datos por correo, y el mero hecho de encontrar esta solicitud debería ponerte sobre alerta.

-Como deciamos, las técnicas de phishing confían más en el envío masivo que en la perfección de la ejecución. Los phishers no suelen perder el tiempo en calcar la identidad corporativa de las empresas que pretenden suplantar. Si encuentras incoherencias o faltas de ortografía o maquetaciones inusuales, sospecha.

-Desconfía de aquellos mensajes que te prometan algo a cambio de datos, o que te apremien a resolver un problema urgente con tus cuentas. Suelen ser el cebo más utilizado.

Pero ante todo, si por algún casual, has mordido el cebo y pulsas el enlace al que redireccionan o llamas al teléfono que te dan, al menos, no te tragues el anzuelo: si en ese momento te piden tus datos, niégate a entregarlos. Si son tus compañías, deberían tenerlos ya. Y, por supuesto, nunca facilites números de cuenta ni el PIN secreto de tus tarjetas.

Si te ha interesado este artículo te recomendamos:

Trabajar en un coworking ¿Estás preparado para ello?

El coworking. ¿Podría ser interesante para ti? ¿Cuáles son sus ventajas y puntos débiles? Vamos a analizarlo

Semáforos nutricionales. ¿Cuándo empezarán a funcionar?

¿Cuándo se implantará el semáforo nutricional Nutriscore? ¿Por qué aún no aparece este el nuevo etiquetado en los productos?

Algún día… no habrá más basura que recoger

La gente a través de iniciativas cotidianas está movilizándose para ser más sostenibles. ¿Podrán estas acciones reducir nuestro impacto en el planeta?

Coche propio ¿tener o no tener? 5 opciones para moverte en 4 ruedas

Ahorra y conduce de forma sostenible con estas opciones: leasing, carsharing, renting… ¿Cuál es la mejor ocpión para ti? Te ayudamos a decidirlo.