Hola, soy tu banco. Ha pasado algo en tu cuenta. ¿Me das tu contraseña y código de usuario para comprobar que todo va bien?
Este mensaje es un ejemplo de lo que es el phishing, la suplantación de identidad con el objetivo de averiguar datos personales, contraseñas, números de tarjeta y cualquier información que reporte dinero al phisher o criminal especializado en phishing.
Los ataques de phishing pueden venir de varias fuentes: el correo electrónico es la vía principal, pero también podemos encontrarnos con páginas web que fingen ser una empresa o institución. ¿Otra fuente de phishing en crecimiento? La mensajería instantánea y las redes sociales.
Y es que esta técnica de engaño se basa en la ingeniería social para obtener lo que busca, información. Además, todos podemos ser víctimas de phishing, ya que las identidades más suplantadas son entidades bancarias, compañías de telefonía o incluso empresas tecnológicas con la excusa de cobrarte por un supuesto servicio técnico que no existe.
Robar una tarjeta de crédito requiere cierta técnica, oportunidad, estar en el momento adecuado y enfrentarte a la posibilidad de que te atrapen. En cambio, el phishing facilita la ocultación, ya que los ataques son a distancia y siempre hay quien confía en exceso en un mensaje o correo electrónico que venga de su banco o entidad de crédito.
Pero antes de entrar en pánico, respira y piensa que a diferencia de otros tipos de delincuencia en internet, el phishing requiere que “piquemos”, es decir, que debemos caer en la trampa para que se haga efectivo. En resumen, ser precavidos nos hará inmunes al phishing.
A continuación repasamos los ejemplos más habituales de ataques de phishing con los que podemos encontrarnos, en qué consisten y cómo detectarlos fácilmente.
Bancos, tarjetas de crédito y otros timos financieros
El phishing se centra principalmente en obtener nuestros datos bancarios, ya sea nuestro número de cuenta o nuestro número de tarjeta de crédito.
Para ello, el método principal es enviarnos mensajes de correo electrónico alertándonos de un problema, bien por parte de ellos o bien sobre algo que te atañe, como que tengas la cuenta al descubierto, alguien haya accedido a tu cuenta o tengas que aportar información personal para evitar que te cierren la cuenta.
¿Te suena de algo todo esto? Las entidades bancarias de todo el mundo han tenido que ponerse al día para evitar que sus clientes caigan en este tipo de trampas, cuyas consecuencias son que alguien al otro lado del mundo vacíe tu cuenta corriente o haga compras con tu tarjeta.
En primer lugar, tu banco nunca te pedirá datos personales a través de un correo electrónico. Es más, ellos mismos te lo harán saber con sus mensajes reales. Como mucho, te dirán que debes acceder a la web oficial de cliente.
Los mensajes más elaborados incluyen el logotipo del banco, imita elementos de mensajes reales como la letra pequeña. Es más, puede que incluyan un enlace a la supuesta página de tu banco.
Así que si recibes un mensaje de este tipo, no hagas caso. Y si quieres curarte en salud, accede directamente a la web de tu banco o a la aplicación móvil del mismo, sin hacer clic en ese supuesto mensaje.
Las páginas oficiales y apps móviles cuentan con cifrado por defecto y solicitan tus credenciales de usuario antes de pedirte nada.
Cualquier información personal que te envíe tu banco lo hará mediante tu muro de usuario en la página oficial. Como mucho, te avisarán de que has recibido un mensaje vía correo electrónico o SMS, pero no te pedirán datos personales.
Multas, impuestos atrasados y falsos servicios técnicos
Quieto, policía, sabemos que te has descargado películas y eso es delito. Pero, tranquilo, si pagas la multa en esta cuenta no iremos a tu casa.
¿Te suena de algo? Mensajes como éste, que pueden resultar graciosos, pueden aparecer como ventana emergente si navegamos por ciertas páginas donde se cuela cualquier tipo de publicidad, incluyendo casos de phishing.
Ni la policía, ni Hacienda, ni el FBI van a comunicarse contigo mediante una ventana emergente mientras navegas por la web. Si has cometido un delito online, tarde o temprano recibirás la visita de unos agentes a tu domicilio.
Es más, las notificaciones de multas, atrasos en el pago de impuestos y otros temas administrativos, se siguen notificando mediante correo certificado. Tal vez en el futuro recibamos un mensaje de WhatsApp, pero por ahora no es así.
Lo mismo ocurre con los mensajes de servicio técnico que te advierten de un supuesto virus, de una infección por malware o de un problema en tu computadora.
Aunque Microsoft, Apple o cualquier fabricante de ordenadores cuentan con servicio de atención al cliente, debemos ser nosotros quienes contactemos con ellos y no al revés, por lo que si se te abre una página simulando ser una empresa tecnológica, el fabricante de tu ordenador o un software que tengas instalado y te pide que le facilites tus datos personales sin venir a cuento o que realices un pago para solucionar un supuesto problema, desconfía.
Más consejos para vencer al phishing
Hemos visto los ejemplos más habituales que atañen al phishing pero puede que te hayas encontrado con otros casos, similares o no.
Veamos más precauciones que debemos tomar para no caer en estos engaños.
En el caso de los correos electrónicos, comprueba la dirección y en concreto el dominio que utiliza y si es punto com o emplea un dominio menos habitual como info, net o de países que ofrecen dominio gratuito como tk (Tokelau), ne (Níger), etc.
En cuanto a las páginas web, haz lo mismo. ¿Qué dominio emplea? ¿La conexión es segura, HTTPS o no? Normalmente las páginas oficiales aparecen en los primeros puestos en los buscadores.
Respecto a mensajes de WhatsApp o similares, SMS o redes sociales, se aplican las mismas normas que al correo electrónico, y es que ninguna empresa te pedirá datos personales sin motivo. Y en caso de realizar un pago porque has adquirido un producto, se hará mediante pasarelas de pago como las que ofrecen los bancos o con sistemas como PayPal. Nada de dar tu número de tarjeta por mensaje instantáneo.
Otro síntoma de que el mensaje de correo, página web o mensaje en redes sociales es falso es que, aunque venga de una fuente oficial, cometa excesivos errores ortográficos o parezca una traducción automática.
En definitiva, un poco de sentido común y un mínimo de precaución son más que suficientes para no caer en las trampas del phishing. No es necesario caer en la paranoia pero tampoco dar datos sensibles al primero que nos manda un mensaje.