Phishing: la ciberdelincuencia, una amenaza de nuestra era

¿Qué es el Phishing?

Proviene del término anglosajón que hace referencia a “morder el anzuelo”. Se trata de un modelo de estafa que busca obtener datos del usuario, el estafador, el phisher, se hace parar por una persona o empresa de confianza en una aparente comunicación oficial , a través de un correo electrónico, SMS, apps de mensajería instantánea, redes sociales…para obtener datos del usuario como tales como claves, números de cuenta, números de tarjeta de crédito, realizar pagos…

El usuario cree que la entidad o la empresa, le pide determinados datos por algún motivo de fuerza mayor: tales como problemas técnicos, necesidad de incremento de seguridad para prevenir el fraude, promoción de productos, regalos, cambios en la política de seguridad, una compra o venta que se haya establecido previamente con el proveedor o cliente real…,donde no proporcionar esos datos tiene consecuencias para el usuario que le hacen actuar sin pensar y de forma rápida, llevándole a enlaces de páginas falsas que suplantan a la entidad y donde recogen los datos que quieren.

¿Cómo evitarlo?

Extremando la atención y sospechando cuando algo se salga de la normalidad. Cuando se reciba un correo electrónico u otro tipo de comunicación que derive a un enlace, es importante comprobar y verificar dicho enlace, es decir, asegurarse de que efectivamente corresponde con el de la entidad y no con una página falsa (que no se repitan letras, que no tenga faltas de ortografía…).

Otra medida de seguridad es únicamente introducir nombre y claves de usuario cuando la conexión sea segura, es decir, cuando la dirección de la página comience por “https”, si no contiene la “s”, desconfía. Es esencial poner toda la atención al dominio de la dirección que nos envía el correo electrónico por ejemplo, verificar que son direcciones oficiales.

Reforzar la seguridad del ordenador y del navegador. Mantener protegido el ordenador con antivirus debidamente actualizados y configurar las herramientas antiphishing que tienen los navegadores.

En cualquier caso, en el momento en que se experimente una mínima duda, la prudencia debe ser la protagonista, desconfiar y no realizar nada de lo que el ‘phishing’ pida.

¿Cómo puedo reconocer un mensaje de phishing?

Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil, especialmente cuando es efectivamente en nombre de su cliente, proveedor o una entidad con la que opere normalmente, de la que supuestamente proviene el mensaje que ha recivido.

Los principales indicios de un correo fraudulento son los siguientes:

El campo De: del mensaje muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra en cualquier cliente de correo.

El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia.

El enlace que se muestra parece apuntar al sitio web original de la compañía, pero en realidad lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.

Normalmente estos mensajes de correo electrónico presentan errores gramaticales o palabras cambiadas.

¿Qué hacer cuando ya he sido víctima de phishing?

Recabar, guardar toda la información posible y denunciar a las autoridades son los mejores pasos.

Para ello, es importante conseguir reunir toda la información posible, a través de capturas de pantalla, documentos en papel, enlaces, direcciones de correo electrónico, correos, mensajes… y acudir a poner la denuncia. Además, conviene reforzar la seguridad online propia y difundir el hecho entre nuestros contactos para alertar y prevenir al resto. También es posible presentar una reclamación oficial al navegador sobre el sitio que es sospechoso de practicar phishing y remitir el caso a la Oficina de Seguridad del Internauta, perteneciente al Ministerio de Industria, Energía y Turismo.