Los ciberdelincuentes siempre están intentando obtener información personal y datos bancarios de los usuarios. Una de las técnicas de moda es el phishing. A continuación te mostramos qué es y cómo identificarlo.

Internet es una gran fuente de información y sus servicios como el correo electrónico, banca online, redes sociales, etc. elementos de interés para los “ciberamigos” de lo ajeno. Uno de los principales métodos utilizados por los ciberdelincuentes para robar información es el phishing. Este anglicismo no te resultará extraño ya que hemos hablado de él muchas veces, pero si aún no sabes lo que es no te preocupes, en este artículo te explicaremos qué es y cómo puedes identificarlo para no caer en la trampa.

El “concepto”

Se trata de una técnica usada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima como puede ser un banco, una red social, una entidad pública…

El phishing más común es el que se propaga a través del correo electrónico, aunque los ciberdelincuentes pueden utilizar otros canales para propagar su estafa como son las redes sociales, aplicaciones de mensajería instantánea o SMS.

Independientemente del medio utilizado, el objetivo final siempre es obtener información confidencial: nombres y apellidos, direcciones de correo electrónico, números de identificación personal, número de tarjeta de crédito, etc. Para obtener esta información los ciberdelincuentes generalmente se valen de la ingeniería social y de un enlace que redirige al usuario a una página web fraudulenta que simula ser la web legítima, en algunas ocasiones pueden utilizar documentos adjuntos para perpetrar el hurto de datos.

La “artimaña”

Estos mensajes fraudulentos utilizan todo tipo de argucias para engañar a la víctima y forzar a ésta a tomar una decisión rápidamente o las consecuencias serán negativas como es, por ejemplo, la denegación de un servicio o la pérdida de un regalo o promoción. Las técnicas más utilizadas son:

  • Problemas de carácter técnico de la entidad a la que suplantan.
  • Problemas de seguridad y privacidad en la cuenta del usuario.
  • Recomendaciones de seguridad para evitar fraudes.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Vales descuento, premios o regalos.
  • Inminente cese o desactivación del servicio.

Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales. Esto se debe a que los mensajes son creados por herramientas automatizadas que utilizan funcionalidades de traducción y diccionarios de sinónimos con los que varían los mensajes para que no sean siempre iguales.

El “propósito”

Bancos y cajas

Excusa: actividad anómala en su cuenta, mejoras en las medidas de seguridad, bloqueo de la cuenta por motivos de seguridad, cambio en la normativa del banco, cierre incorrecto de sesión, etc.

Objetivo: obtener información bancaria como son los números de tarjeta de crédito, tarjetas de coordenadas, claves de acceso a banca online, numero PIN, etc.

Ejemplos: phishing a Ruralvía, La Caixa, Bankia o Banco Santander.

SMS falso suplantando a Bankia

SMS falso suplantando a Bankia

 

Pasarelas electrónicas de pago (PayPal, Visa, MasterCard, etc.)

Excusa: muy similares a las utilizadas para suplantar bancos y cajas. Cambio en la normativa del servicio, cierre incorrecto de sesión, mejoras en las medidas de seguridad, detectada actividad anómala, cancelación del servicio, etc.

Objetivo: robar información bancaria y claves de acceso con la que los ciberdelincuentes obtengan un beneficio económico.

Ejemplos: phishing a PayPal, Mastercard.

Correo fraudulento suplantando a MasterCard con un archivo adjunto

Correo fraudulento suplantando a MasterCard con un archivo adjunto

 

Redes sociales (Facebook, Twitter, Instagram, Linkedin, etc.)

Excusa: alguien te ha enviado un mensaje privado, se ha detectado actividad anómala en la cuenta, por motivos de seguridad es necesario que verifiques las claves de acceso, etc.

Objetivo: robar cuentas de usuario para obtener información personal, suplantación de identidad.

Ejemplos: phishing a Facebook, Twitter.

Phishing a Twitter

Phishing a Twitter

 

Páginas webs de compra/venta y subastas

Excusa: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafarlos económicamente.

Ejemplo: phishing a Amazon.

Phishing a Amazon

Phishing a Amazon

 

Juegos online

Excusa: fallos de seguridad en la plataforma, tareas de mantenimiento, actividad anómala detectada en la cuenta del usuario.

Objetivo: robar cuentas de usuario con el fin de obtener datos personales e información bancaria, suplantar la identidad del usuario o pedir un rescate por la cuenta.

Phishing a World of Warcraft (WoW)

Phishing a World of Warcraft (WoW)

 

Soporte técnico y ayuda de grandes empresas (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: robar cuentas e información personal del usuario.

Ejemplo: phishing a Apple.

Phishing a Apple

Phishing a Apple

 

Servicios públicos

Excusa: informar sobre una notificación, multa, paquete no entregado, reembolso económico, etc.

Objetivo: infectar el dispositivo del usuario con malware, robarle datos personales e información bancaria.

Ejemplo: phishing a la Agencia Tributaria, Policía Nacional, Correos.

Phishing a la Agencia Tributaria

Phishing a la Agencia Tributaria

 

Servicios de almacenamiento en la nube

Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.

Objetivo: obtener credenciales de acceso al servicio para robar información privada del usuario.

Ejemplo: Phishing a Google Docs.

Phishing a Google Docs

Phishing a Google Docs

 

Servicios de mensajería

Excusa: el paquete no ha podido ser entregado al cliente, paquete en espera de ser recogido, información sobre el seguimiento de un paquete.

Objetivo: infectar equipos con malware, robar información personal así como datos bancarios del usuario.

Ejemplo: phishing a DHL.

Phishing a DHL

Phishing a DHL

 

Falsas ofertas de empleo

Excusa: ofertar puestos de trabajo.

Objetivo: robar información personal, información bancaria y dinero.

Ejemplo: Las 8 falsas ofertas de empleo más utilizadas por ciberdelincuentes en Internet.

Oferta falsa de empleo

Oferta falsa de empleo

 

Vales descuento

Excusa: regalar al usuario un vale descuento, cupón o premio.        

Objetivo: obtener información personal del usuario, suscribirlo a listas de publicidad por email o a servicios de SMS Premium, invitarle a descargar aplicaciones, instarle a llamar a números de tarificación especial, instalar malware en su dispositivo.

Ejemplo: Mercadona, Lidl, Zara.

Vale descuento fraudulento a Mercadona

Vale descuento fraudulento a Mercadona

 

La “protección”

Afortunadamente, los servicios de correo electrónico más usados (Gmail, Outlook, Yahoo!, etc.) cuentan con sistemas antispam con los que protegen a sus usuarios de la mayoría de ataques de phishing, pero esto solo es válido para el correo.

Entre las medidas de seguridad que podemos aplicar es configurar la opción antiphishing que incorporan los navegadores la cual avisa al usuario cuando está intentando acceder a un sitio web identificado como fraudulento. Las diferentes opciones antiphishing que incorporan los navegadores más usados son:

  • El Filtro SmartScreen de Internet Explorer.
  • Protección contra el Malware y el Phishing en Firefox.
  • Protección contra phishing y software malicioso en Google Chrome.
  • Protección contra la suplantación de identidad (phishing) en Safari.

Legitimidad de un sitio web: esencial para evitar los fraudes.

La mayor parte de los ataques de phishing suplantan a entidades oficiales o empresas reconocidas como son Apple, Google, Facebook, Bancos, etc. Estas empresas por norma general cuentan con un certificado digital que identifica a la organización. En este artículo se muestra qué es un certificado y como identificarlos.

Puede darse el caso que la organización a la que suplantan no disponga de un certificado digital en ciertas partes de la web. En estos casos, siempre recomendamos a los usuarios que si tienen que introducir datos de carácter personal o bancario lo hagan únicamente en páginas a las que se pueda identificar a la identidad que representan por un certificado.

¿Qué debes hacer si detectas un phishing o tienes dudas con una web?

  1. No facilites la información que te solicitan. En caso de duda consulta directamente a la empresa o servicio que representa o ponte en contacto con nosotros para hacernos llegar tu consulta.
  2. No contestes en ningún caso a estos correos.
  3. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto.
  4. Elimínalo y, si lo deseas, alerta a tus contactos sobre este fraude.

Ahora que ya conoces el “concepto”, el “propósito” y la “protección” solo resta que apliques este conocimiento en tu día a día para evitar caer en este tipo de amenaza.