Vamos a relataros el caso de Pascual (el nombre es ficticio), que casi es víctima de un phishing contra su cuenta de PayPal y que supo actuar correctamente para evitar el daño.

Pascual era un asiduo visitante y comprador de diversos productos en eBay, el conocido portal de subastas de artículos entre particulares. Un día, tras más de un año sin comprar nada, recibió un correo electrónico, supuestamente del prestador de pagos online PayPal, informándole de un cargo por una compra aparentemente realizada a través de eBay, que él no había realizado.

Veamos el correo que recibió:

Falso correo de PayPal

Aunque Pascual no recordaba haber comprado el objeto que se indicaba, lo cierto es que el correo tenía todo el aspecto de ser verdadero: los logos del PayPal y eBay eran los oficiales, el formato coincidía con lo que había recibido meses atrás al realizar compras, y los textos parecían correctos. Todo estaba en orden, pero estaba seguro de que no había hecho ninguna compra.

Quizá se tratase de un error, pero este tipo de errores no suceden por casualidad. Así que, tal y como había leído en el blog de la OSI, evitó pinchar en los enlaces y se detuvo un momento en comprobar la dirección a la que apuntaban. Para ello le bastó poner el cursor sobre éstos, y salió de dudas al ver que apuntaban a webs que no tenían nada que ver con PayPal o eBay:

Falso correo de PayPal

Confirmado que se trataba de un intento de phishing, tecleó la dirección de PayPal en la barra de direcciones del navegador y entró en su cuenta para comprobar si se había realizado algún cargo en su cuenta. Allí comprobó que ese cargo no existía y respiró con alivio aunque, para curarse en salud, anuló la tarjeta de crédito asociada para evitar posibles problemas. Pascual también llamó al banco para cancelar cualquier cargo que le hicieran en las horas siguientes.

En definitiva, aquel correo era claramente un intento de capturar sus contraseñas, y no la confirmación de una compra real desde su cuenta. Nuestro amigo actuó correctamente ante aquel caso de phishing, pero si se hubiese dejado llevar por el impulso de pinchar en alguno de los enlaces del correo, habría terminado infectado con algún virus o en alguna página donde le pedirían sus contraseñas, sus datos bancarios, etc.

Por la tarde, pensando que hacía meses que no utilizaba su cuenta de PayPal, decidió que, para evitar problemas lo mejor era darse de baja definitivamente. Además, consideró necesario informar a PayPal del fraude, para evitar que los delincuentes se aprovechasen de otras personas:

Correo que envía el usuario de PayPal

PayPal no tardó mucho en contestarle, con un correo en el que le agradecían su colaboración para detener este tipo de ataques. También se le informaba del propósito del ataque del que había sido objeto, con varios consejos para futuras ocasiones.

El correo de PayPal mostraba claramente un compromiso real con la lucha contra el phishing y los fraudes en la compra online. Pascual se fijó también en que el correo recibido no contenía ningún enlace a la web de PayPal, lo que lo hacía más confiable.

Correo que recibe el usuario de PayPal

El problema quedó ahí y Pascual pudo darse de baja del servicio sin más incidentes. Además, al informar de los correos de phishing recibidos a PayPal, nuestro amigo contribuyó a que se investigaran estos casos.

Por fortuna no fue víctima de ningún robo de contraseñas, ni se le cargaron compras que él no había realizado, y todo porque supo identificar un correo de phishing.

Además, gracias a notificar del phishing a su proveedor, también evitó que otros usuarios fueran víctimas del mismo correo. Pero, ¿cuántos casos más hay que pueden hacer caer a una víctima incauta? ¿Sabríamos actuar ante un caso similar?

¿Cómo debemos actuar ante estos casos para evitar ser víctima de phishing?

  • Sé precavido ante cualquier correo no solicitado o no esperado. Un correo sobre algún producto que no hemos comprado debe hacernos sospechar y desconfiar de su contenido.
  • No respondas a estos correos. En ocasiones, estos correos van dirigidos a identificar cuentas de correo activas por lo que si respondemos, podemos ser víctimas de más correo malicioso.
  • Nunca pinches en los enlaces de correos sospechosos. En su lugar, escribe la dirección en el navegador.Este tipo de correos suele incluir enlaces a sitios maliciosos para robarnos nuestras contraseñas, o infectar el equipo a través de la instalación de virus o troyanos. Puedes revisar el destino de los enlaces poniendo el cursor sobre ellos, y es recomendable utilizar un analizador de URLs, presente en muchos antivirus.
  • Informa al proveedor de cualquier correo fraudulento o sospechoso. Si les informamos, podemos evitar que le ocurra lo mismo a otras personas.
  • Comunícanos cualquier intento de fraude online que te resulte sospechoso: buzón de incidentes generales.
  • En caso de haber sido víctima de un fraude, puedes interponer la denuncia correspondiente ante las Fuerzas y Cuerpos de Seguridad del Estado.

Si tú también has sido víctima de algún fraude o conoces algún caso de cerca y te gustaría que se publicara en este blog, puedes hacernos llegar toda la información a través del buzón de contacto del portal. ¡Gracias!