Hace pocas semanas todo el mundo quedó conmocionado ante el ataque de ransomware WannaCry que sufrieron varios países del mundo. Ese ataque pudo marcar un punto de inflexión ante la conciencia que debemos de tener frente a la seguridad en Internet, y en concreto en los datos que brindamos a determinadas páginas web.
En este artículo os queremos hablar del phishing y acerca de algunas recomendaciones esenciales que pueden evitar que seamos víctimas de un ciberataque.
Pero, ¿Qué es el phishing?
Podemos definir el phishing como la herramienta que utilizan piratas informáticos para robar nuestros datos personales suplantando la identidad del remitente haciéndose pasar por nuestro banco, un organismo público o una reconocida empresa para conseguir su fin.
Saber identificar este tipo de actos es fundamental para no caer en ellos, y en el caso de tener la sospecha de haber sufrido un ataque de phishing lo primero que debemos hacer es avisar a nuestro banco, a la Agencia Española de Protección de Datos y a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para formalizar la correspondiente denuncia.
El mail es el canal tradicional a través del cual suelen llegar estos ataques, aunque también es frecuente encontrarlos vía SMS o WhatsApp. Hoy mismo, desde la web de la Oficina de Seguridad del Internauta nos alertan de un ataque de phishing a través de WhatsApp donde la empresa Mercadona ofrece cupones de 150 € para gastar en sus supermercados.
El objetivo de este ataque no es otro que el de recopilar datos de los usuarios y lograr que se suscriban a servicios de tarificación especial, en este caso SMS Premium.
¿Cómo funciona el phishing?
Su mecanismo es bastante sencillo, en este mensaje que recibimos viene un enlace que dirige a un sitio web que intentará persuadirnos para que introduzcamos los datos personales que nos solicitan.
Entre estos datos, además de nombre, apellidos, email, número de móvil, etc… pueden solicitarnos el número de nuestra cuenta o tarjeta bancaria, contraseñas de acceso a nuestro banco, de nuestras redes sociales o de nuestro mail.
Una vez facilitados, los ciberdelincuentes comienzan a hacer su trabajo utilizando estos datos de forma ilícita.
¿Cómo consiguen engañarnos?
Los ciberdelincuentes cuando ponen marcha sus “particulares campañas” de phishing utilizan la ingeniería social para conseguir nuestra información privada. Hacen uso de todo tipo de recursos para conseguir engañarnos.
Estos mensajes suelen venir de empresas que reconocemos, y en el caso del mail, por ejemplo, se esmeran además en simular un look en su correo electrónico idéntico al de la empresa que intentan suplantar usando sus colores corporativos, imágenes y tipografía.
En estos mensajes además de la apariencia también introducen ganchos que intentan persuadir al receptor para hacer clic en el enlace. Estos ganchos son del tipo: problemas de carácter técnico de la empresa a la que intentan suplantar, problemas de seguridad y privacidad en la cuenta de usuario, cambios en la política de seguridad, necesidad de actualizar sus datos, premios, regalos, descuentos, vales promocionales y un largo etcétera de artimañas para lograr su fin.
¿Cómo puedo identificar un mensaje de phishing?
A través de la Oficina de Seguridad del Internauta nos dan una serie de recomendaciones que detallamos a continuación.
- En temas financieros, la primera norma es que tu banco jamás te va a pedir a través de un email que introduzcas datos bancarios tuyos para actualizar su base de datos. Si recibes un mensaje de estas características obvialo por completo.
- Otra forma de identificarlo es que aunque el mensaje provenga de una entidad que reconocemos, la URL del enlace a la que nos dirige no es la oficial de dicha entidad. Hay fijarse también en el mail remitente, y podremos observar que no se envían desde cuentas oficiales, de hecho, en algunos casos hasta se envían desde cuentas tipo Gmail, Hotmail o Yahoo.
- Recomendamos también fijarse en la ortografía y en la forma en el que está redactado ese mensaje. Es fácil encontrarse mensajes con errores de ortografía y con redacciones deficientes debido a una pobre traducción al castellano.
En el caso de que detectes que has recibido un mensaje de phishing de una entidad reconocida, además de la denuncia ante los organismos competentes citados con anterioridad, recomendamos remitirlo a esa entidad para corroborar que efectivamente ellos no están enviando esa información, y de esta forma que puedan alertar a sus clientes de este ataque y prevenirles evitando que sus clientes sean víctimas de un fraude.
