El phishing es una tipología de estafa online en la que la identidad de un tercero se suplanta para, a través de correos electrónicos fraudulentos, intentar obtener grandes sumas de dinero. Las empresas u organismos por los que los ciberdelincuentes suelen hacerse pasar son normalmente servicios de banca online a través del nombre de nuestros bancos o de Paypal, de reproducción de streaming como Netflix o conocidas empresas de mensajería como Amazon. Pero no se detienen aquí, son muchas las empresas mundialmente conocidas que cada día sufren “clonaciones” por parte de los cibercriminales para la ejecución de sus ataques de phishing.
Cómo funciona el phishing
A través de links emitidos, supuestamente, por sitios web conocidos para nosotros y que normalmente implican realizaciones de pagos, cobros, transacciones económicas… en las que debemos introducir datos personales y bancarios. El correo que recibimos por parte de los ciberdelincuentes siempre utiliza alguna excusa que llame nuestra atención como “¡Fuiste seleccionado para recibir un premio”, “Hemos detectado una intrusión a su cuenta en nuestro sistema de seguridad”, “Hemos detectado movimientos sospechosos en tu cuenta” … y un largo etcétera de argumentos ingeniosos que justifican la necesidad de facilitar nuestros datos personales.
¿De dónde consiguen nuestros correos los ciberdelincuentes?
Esta es la gran pregunta que todos nos hacemos: ¿cómo se hacen los spammers con nuestros correos electrónicos? Pues de muchos lados y de muchas maneras. Enumeramos algunas:
- Comprando listas de correos. El mercado negro cuenta con este tipo de demanda, por lo que hay oferta. Además, estas bases de datos son relativamente baratas si las comparamos con lo que los ciberdelincuentes pueden ganar con ellas.
- A través de fugas de datos de grandes empresas. Estas fugas pueden ser ejecutadas de forma intencionada o de forma impremeditada, pero en todo caso se extrae información de una gran base de datos que es distribuida sin permiso expreso de la empresa y se hace un uso ilícito de su contenido.
- Rastreando correos electrónicos en webs públicas. Esta forma es tan fácil como rastrear comentarios o publicaciones que contengan menciones a una cuenta de correo electrónico que van recopilando.
- A través de otros enlaces o clics en fotos. Ocurre que en ocasiones, los correos que nos llegan a spam tienen algún link que nos redirige a dar de baja nuestra suscripción; juegan con que no queremos seguir recibiendo sus correos para que cuando cliquemos en su enlace para rechazarlos, entiendan que esa cuenta de correo desde la que hacemos clic está activa y nos hacen llegar todavía más spam. Normalmente estos correos pueden identificarse fácilmente, pues su aspecto no inspira confianza. (Algunos incluso muestran faltas ortográficas porque se hace uso del traductor para el envío). Respecto a las fotografías, funcionan igual que los enlaces: si cargamos las imágenes de ese correo, nuestra cuenta se reconocerá como activa y llegará todavía más spam.
Cómo evitar el phishing
Identificar correos electrónicos fraudulentos no es difícil, simplemente es necesario hacer uso del sentido común, para ello deberemos tener en cuenta los siguientes detalles:
- Nuestros bancos avisan: nunca nos pedirán vía correo electrónico ni a través de mensajería que facilitemos nuestras claves de acceso o los datos de nuestras tarjetas de crédito.
- Verificar la dirección de correo electrónico del remitente. En muchas ocasiones el dominio del remitente ni siquiera contiene el de la entidad desde la que supuestamente escriben.
- Comprobar la veracidad de la página web. Para ello, solo tenemos que fijarnos en si en la barra de estado aparece un icono de un candado cerrado, indicativo de una página segura; y también en que esa dirección empiece por https://.
- No contestar este tipo de correos. En caso de dudar de si ese correo es fraudulento o no, en ningún caso responderemos; deberemos llamar por teléfono a la entidad que supuestamente lo envía para que nos informen de primera mano de si realmente se trata de una estafa.
- Eliminarlo de nuestro buzón y alertar a entidades y contactos. Es una buena forma de hacer saber a las empresas que están siendo víctimas de phishing y a nuestros contactos de que no caigan en la estafa de ese correo electrónico.
- Las comunicaciones genéricas son un aviso. Normalmente las entidades para las que sí hemos dejado nuestros correos electrónicos para que nos hagan llegar notificaciones y mailings personalizan el asunto. Si ese correo va dirigido a un “Estimado cliente”, “Notificación a usuario” … será un indicio de que se trata de una estafa.
Si es demasiado tarde y has sido víctima de una estafa en internet, será necesario que recopiles toda la información que pueda ser de utilidad (correo recibido, respuesta si la ha habido, datos facilitados…) para ponerlas en manos de un perito informático, que será quien te pueda ayudar en un proceso judicial o fiscal con un informe exhaustivo extraído a partir de toda esa información.
Los comentarios están cerrados.
[…] anteriores publicaciones explicábamos qué es el phishing y cómo evitarlo. Hoy desarrollaremos algunos tipos para protegerse del phishing. Esta modalidad de estafa está […]
[…] sus redes para que caigamos en sus estafas. En este caso, hablaremos de otra modalidad de hacer phishing diferente a la que ya conocemos: a través de las redes […]
[…] Importante no confundirlo con el anterior punto, pues en el fraude informático se lleva a cabo una estafa a través de la manipulación de datos o de programas con el objetivo de lucrarse. Las estafas más comunes son las bancarias, con tarjeta de crédito, débito o cheques de viaje, entre otras. Recordemos que llevados a cabo a través de correos electrónicos esto lo podemos denominar phishing. […]
[…] anteriores publicaciones hablábamos sobre qué es el phishing o suplantación de identidad en la red. Esta modalidad de estafa online puede encontrarse en […]
[…] trata de una campaña que han lanzado los phishers para quedarse con los datos bancarios de las víctimas que caen en su trampa. En el cuerpo del […]
[…] de identidad o phishing para llevar a cabo las acciones […]