Phishing o estafas por Internet

El phishing es uno de los principales métodos fraudulentos que utilizan los delincuentes cibernéticos para hacerse con la información confidencial de sus víctimas y estafarlas.

En esta guía sobre el phishing te explicaremos todo lo que debes saber sobre esta técnica, cómo identificar un ataque y sobre todo como protegerte.

Glosario del contenido del artículo:

¿Qué es el phishing?

El phishing es un término informático que hace referencia a un método de abuso informático y que se lleva a cabo mediante técnicas de ingeniería social.

En castellano es lo que conocemos cómo suplantación de identidad.

El estafador, o phisher, se hace pasar por alguien de confianza – ya sea un particular o una empresa- y se comunica con la víctima para engañarla y robarle información delicada utilizando prácticas fraudulentas.

Por lo general utiliza las siguientes vías de comunicación:

  • Correo electrónico
  • Mensajería instantánea (SMS, redes sociales…)
  • Llamadas telefónicas

A través de estas vías el phisher envía comunicaciones ‘aparentemente’ oficiales de fuentes de confianza, como puede ser nuestro banco por ejemplo.

El objetivo de esto es manipular al receptor para engañarlo y robarle la información.

En este caso, al recibir un supuesto correo de tu banco, y al acceder introduciendo tus credenciales estarás exponiéndote a que obtengan tus datos e incluso te vacíen la cuenta.

¿Cómo funciona el phishing?

Los ataques phishing se realizan a través de correos electrónicos, mensajes o llamadas telefónicas, y en todos los casos nos harán creer que la persona que está detrás es totalmente legítima y de confianza.

Los comunicados ‘aparentemente’ oficiales que recibimos en nuestro correo incluyen enlaces a una página web réplica de la oficial, que ya está preparada por los criminales cibernéticos para robarnos la información.

Básicamente el método funciona de la siguiente manera: nos envían un comunicado con un enlace, accedemos a la página que hasta el momento pensamos que es la oficial, y al introducir nuestros datos sin saberlo estaremos dejandoselo en bandeja a los phishers.

Ahora que lo estás leyendo probablemente pienses que no es tan fácil dejarse engañar, pero créeme qué hay muchísimas personas que son estafadas a través de este método fraudulento.

La vía más utilizada para llevar a cabo estos ataques es el correo electrónico.

Aunque hace tiempo que también realizan intentos por SMS (smishing), VoIP (vishing) y través de los mensajes instantáneos en redes sociales.

Los cibercriminales utilizan diferentes prácticas de ingeniería social y algunos trucos para crear alarma en los receptores de los mensajes.

Básicamente envían comunicados con indicativos de urgencia con el objetivo de estimular a las víctimas potenciales para que actúen instintivamente y prácticamente sin pararse a pensar en los riesgos.

Como detalle curioso, existe una ligera vinculación entre el phishing y el spam. Y es que los ciberdelicuentes que envían estos correos electrónicos fraudulentos lo suelen hacer masivamente.

Hasta ahora hemos hablado del phishing ‘estándar’ pero existen muchas variantes. Todas tienen en común el uso de un pretexto fraudulento con el objetivo de adquirir datos confidenciales sensibles.

Si quieres conocer sobre los tipos que hay te invitamos a leer qué tipos de phishing existen.

¿Cómo identificar un ataque phishing?

La mayoría de los ataques phishing siguen el mismo patrón, así que con un poco de intuición es probable que puedas identificarlos. Aun así, vamos a darte pautas para que aprendas a reconocer un mensaje de phishing.

Una empresa no te va a pedir datos personales por correo electrónico

Partiendo de esto, ni tu compañía de teléfono, ni tu energética, ni siquiera tu banco, van a pedirte nunca información personal a través de correo electrónico.

Así que esta debería ser la primera señal de alerta.

Fíjate en las incoherencias o faltas ortográficas

Si recibes un comunicado ‘aparentemente’ oficial revísalo con detenimiento antes de hacer clic en ningún enlace. A veces estos comunicados son una chapuza que se detecta a kilómetros pero otras veces hay que reconocer que los phishers hacen bien su trabajo.

Así que, a pesar de que inicialmente te parezca legítimo trata de buscar posibles incoherencias o faltas de ortografía. A veces estos comunicados suelen ser traducciones de otros idiomas y contienen errores.

Fíjate en la dirección del remitente

Otro detalle que puede servirnos y que además puede ser muy relevador para identificar estos mensajes fraudulentos es mirar directamente el remitente del correo.

Cuidado con el móvil

También debes de ser precavido cuando realices operaciones desde tu móvil inteligente.

La mayoría utilizamos nuestro smartphone prácticamente para casi todas las gestiones en el día a día por lo que conviene tener cuidado y evitar los despistes mientras navegamos con el móvil.

Los hackers suelen aprovecharse de la pérdida de claridad por tratarse de pantallas más reducidas y las medidas de seguridad más débiles qué suelen tener estos teléfonos inteligentes.

Cualquier ocasión es una oportunidad para estos delincuentes cibernéticos.

¿Cómo evitarlo y/o protegerse?

Para evitar caer en la trampa, si tienes dudas lo mejor es no hacer nada.

Sí recibes un correo electrónico y te genera desconfianza lo mejor que puedes hacer es acceder a la página web reflejada en el comunicado.

Pero no hagas clic en el enlace y escribe tu mismo la dirección en el navegador.

Así evitarás hacer clic en cualquier enlace que te pueda llevar a una página clonada y exponerte a facilitarle tus datos a los ciberdelincuentes.

Cómo ya te hemos comentado, identificar un ataque de phishing puede ser relativamente sencillo.

Te dejamos unos tips rápidos para evitarlos:

  • Sé muy precavido con los correos que parecen ser de servicios conocidos o entidades bancarias, o simplemente de mensajes que no te esperabas y que puedan resultar extraños o incluso alarmistas
  • Sí hay errores gramaticales sospecha directamente. La mayoría de estos errores se debe a que los mensajes son traducciones automáticos.
  • Desconfía de las comunicaciones anónimas qué contengan saludos del estilo estimado cliente, notificación de usuario…
  • Si recibes un correo revisa que texto del enlace coincide con la dirección a la que apunta, y que corresponde con la URL legítima
  • Otro detalle a tener en cuenta es que normalmente los servicios utilizan sus propios dominios y cuentan con direcciones de correo corporativas. Así que si recibes una comunicación procedente de una dirección de correo gmail, outlook o similar seguramente sea una estafa de phishing.
  • Sí el mensaje te obliga a actuar con rapidez también suele ser mala señal
  • Y recuerda, tu banco nunca te va a solicitar tus datos personales y bancarios por e-mail

En definitiva, simplemente utiliza el sentido común.

¿Que hacer si eres victima de un ataque?

Si eres victima de un ataque, no te preocupes que aun puedes hacer algo.

Si los hackers tienen tus datos personales y credenciales es importante que actúes lo antes posible. Puedes recurrir a estos remedios para tratar de evitar que puedan hacer un mal uso de tu información.

Como por ejemplo:

  • Cambiar tus usuarios y contraseñas lo antes posible
  • Revisa tu correo y asegúrate de que no se han realizado inicios de sesión en otros dispositivos
  • En caso de haber sufrido un ataque a nivel bancario te recomendamos que bloquees tu tarjeta lo antes posible. Además, comprueba que no hayan realizado ningún cargo fraudulento en la cuenta.
  • Sí lo crees oportuno también tendrás la opción de denunciar el caso a las autoridades

¿Puedes denunciarlo?

Sí, claro que puedes denunciar un ataque phishing. De hecho reportar este tipo de casos suele ser importante.

Para hacerlo tendrás diferentes alternativas:

  • Grupo de Delitos Telemáticos (GDT) de la Guardia Civil
  • Brigada de Investigación Tecnológica (BIT) de la Policía Nacional
  • Instituto Nacional de Ciberseguridad (INCIBE)