Historia real acerca del phishing y las consecuencias de no ser precavido
La historia se centra en el hijo menor de la familia Cibernauta, el cual es muy fan de un actor de Hollywood. De pronto, recibe una noticia sobre la muerte de su ídolo. Rápidamente accede a la red donde está publicada, introduce sus datos y tras leerla detenidamente descubre que es falsa. Aparentemente el incidente no va a más… ¿o sí? Sus datos han sido robados. ¿Cómo ha ocurrido? ¿Qué buscaban? ¿Con qué objetivo?

Como cada día, el hijo menor de la familia “Cibernauta” llegó a su casa tras un día entero de clases muy intensas en la universidad.

Dejó sus cosas en la habitación, se preparó algo de cenar y se sentó en el sofá con su tablet para desconectar un poco de sus clases. Su rutina solía ser la misma todos los días: encender la tablet, mirar algunos vídeos por YouTube, hablar con sus amigos y amigas a través de sus redes sociales, echar una partida a algún juego online y revisar sus emails.

Falsa noticia usada como cebo

Nuestro protagonista estaba entonces revisando algunos correos electrónicos y notificaciones cuando advirtió que uno de ellos contenía las siguientes palabras: “Jack Pitt” y “Accidente de avión”. Al parecer su actor favorito había sufrido un accidente. Él sabía que estaba rodando una película en Nueva Zelanda, pero ¿podía ser cierto? La noticia lo dejó en shock, no podía creerse lo que estaba leyendo. Además, el cuerpo del correo no profundizaba demasiado en cómo había ocurrido todo. Para ello debía hacer clic sobre un enlace adjunto para conocer los detalles.

Sin pensarlo demasiado, se dispuso a hacer clic sobre el enlace para leer la noticia completa. Tenía que saber cómo, cuándo y dónde había ocurrido el accidente.

Una vez pulsó sobre el enlace adjunto, éste lo redirigió a la pantalla de login de una red social muy conocida. Introdujo el usuario y contraseña de su cuenta, pero la página web lo redirigió de nuevo a la pantalla de login. Tras un breve momento de duda, volvió a introducir sus datos y accedió finalmente a la red social. Para su sorpresa, no había ni rastro de la noticia, simplemente estaba en la pantalla principal donde podía ver las últimas actualizaciones de sus contactos. Fue entonces cuando sospechó que probablemente se tratase de una noticia falsa de las que circulan por Internet y que suelen tener varios años de antigüedad. De todos modos, decidió comprobar otras fuentes y confirmar que, efectivamente, se trataba de un rumor que circuló por la red hace tiempo.

Tras la sorpresa inicial y el alivio al contrastar la noticia, decidió no darle mayor importancia y seguir con su día, tal y como lo tenía planeado. Total, al final todo era mentira y no había pasado nada… ¿o sí?

¿Qué había ocurrido en realidad?

Al introducir su usuario y contraseña en la red social, había caído en la trampa del ciberdelincuente. Éste había creado una web falsa, de aspecto muy similar a una famosísima red social en la que el hijo de la familia tenía una cuenta creada.

El ciberdelincuente se aprovechó del despiste de nuestro protagonista para hacer pasar su web por la red social original y robar los datos de acceso de su cuenta. Sin darse cuenta había sido víctima de una técnica muy utilizada por los ciberdelincuentes para conseguirlos datos de acceso y credenciales de otros usuarios, conocida como phishing.

Mediante la suplantación de otras entidades o webs legítimas en las que los usuarios confían, por ejemplo, un banco, una entidad pública o una red social, los ciberdelincuentes pueden obtener nuestra información personal y bancaria. Aunque la forma más común de propagarse son los correos electrónicos, pueden recurrir a aplicaciones de mensajería instantánea como WhatsApp, SMS y redes sociales.

¿Qué información pueden robarnos?

Por medio de esta técnica, el ciberdelincuente es capaz de hacerse con las credenciales de acceso de la red social de nuestro protagonista, lo que a su vez le da acceso a todo tipo de información tanto del usuario como de sus contactos. Sin embargo, esta técnica puede permitirle robar mucha información valiosa, como:

- Datos personales: o correos electrónicos, datos de localización y contacto o incluso números de documentos de identidad.

- Información bancaria y financiera: Número de tarjetas de crédito o de cuentas bancarias.

- Credenciales de acceso a redes sociales y cuentas de correo electrónico.

Consecuencias facilitar información personal

¿Cómo debemos actuar ante un phishing?

Los casos de phishing son muy habituales en el día a día. Muchos de ellos no llegan a pasar el filtro de spam y no somos conscientes de los numerosos intentos de ataques a los que estamos expuestos. Aunque el correo electrónico no es el único medio por el que se propagan este tipo de engaños, sí es uno de los más extendidos.

El caso de nuestro protagonista es solo un ejemplo de los distintas variantes y tácticas que utilizan los ciberdelincuentes para tratar de engañarnos. Esto puede ocurrirle a cualquier de nosotros, sin embargo, con un poco de atención y conociendo el modo en el que operan los atacantes, podemos prevenir y detectar estos engaños:

  1. Verifica que la cuenta es original. Debemos comprobar que el email coincide con la empresa que nos envía el correo. Generalmente suelen ser emails desconocidos o que tratan de parecerse al que sería el correo oficial. Por ejemplo: gooogle.com en vez de google.com.
  2. Comprobar la ortografía y los textos. Muchos de los intentos de phishing contienen faltas de ortografía o gramática que no son propios de un correo oficial perteneciente a nuestra entidad bancaria, por ejemplo.
  3. Revisar la URL. Los enlaces a los que nos invitan a entrar deben ser comprobados. Antes de hacer clic, pon el cursor sobre el hipertexto para que te aparezca la url real.
  4. No descargues los archivos adjuntos. Bajo ningún concepto debemos descargarnos ningún archivo que lleve adjunto el email hasta que no estemos seguros de que no se trata de un engaño.

Si sospechamos que hemos sido víctima de un caso de phishing, mantendremos la calma. Lo que debemos hacer es cambiar inmediatamente todas nuestras contraseñas y ponernos en contacto con la empresa o entidad financiera para informarles, en el caso de que hayan podido obtener nuestra información bancaria.

¿Te ha pasado algo parecido alguna vez? ¿Cómo actuaste? Comparte tus historias con el resto de los usuarios, les ayudará a estar prevenidos en situaciones similares.

Historia real enmarcada dentro de la campaña
Los ciberdelincuentes, ¿quiénes son?