Con el paso del tiempo y el avance de las tecnologías digitales, las estafas han ido evolucionando hasta convertirse en sofisticados engaños cada vez más difíciles de detectar. Aun así, difícil no es lo mismo que imposible; y es que con los conocimientos y precauciones adecuadas, usted puede aprender a reconocer una estafa y evitar caer en ella.
En esta oportunidad le contamos acerca de uno de los engaños más comunes que acechan en la modernidad: los ataques de phishing. Aprenda cómo opera esta estafa y qué medidas puede tomar para cuidarse.
¿Qué es el phishing?
El phishing, también conocido como suplantación de identidad, es un delito en el cual un ciberdelincuente intenta adueñarse de la información confidencial de otra persona a través de técnicas engañosas como:
mensajes de texto falsos
correos electrónicos falsos
sitios web falsos
Los mencionados engaños son especialmente diseñados para que parezca que pertenecen a una compañía conocida y legítima. Pueden tener el mismo aspecto que los mensajes enviados por una institución financiera, una plataforma de redes sociales o una aplicación de pagos en línea, entre otros. En general, contienen una historia ficticia para engañarle y que haga clic en un enlace, abra un archivo adjunto o entregue información personal. Los mensajes podrían tratarse de lo siguiente:
decirle que se ha detectado alguna actividad sospechosa desde su cuenta
asegurarle que hay un problema con su cuenta o con su información de pago
comunicarle que debe confirmar algunos datos personales
solicitarle que haga clic en un enlace para hacer un pago
decirle que usted es elegible para recibir un reembolso del gobierno
ofrecerle un cupón para algo gratis
Lo que debe saber: Estos engaños funcionan como un “anzuelo” que los delincuentes esperan que usted “muerda”. De ahí el significado del término phishing, que proviene de la palabra inglesa "fishing” (pesca).
A través de las mencionadas técnicas engañosas, los hackers intentan obtener información personal como su:
número de tarjeta de crédito o débito
nombre de usuario y contraseñas de una cuenta
El objetivo de esta intromisión a su privacidad es hacer compras, reservas o extracciones de dinero a su nombre.
¿Quién puede sufrir un ataque de phishing?
Cualquier persona que tenga un teléfono celular, correo electrónico y/o navegue por Internet es una potencial víctima de un ataque de phishing. A través de un engaño elaborado, el ciberdelincuente le hace creer a su víctima que está interactuando con un sitio web legítimo y, en consecuencia, le entrega su información personal.
¿Cómo saber si estoy sufriendo phishing?
Es probable que haya sido víctima de un ataque de phishing si usted:
abrió un enlace o archivo adjunto de un correo electrónico o mensaje de texto de procedencia dudosa
envió su información personal a un correo electrónico o número de celular sospechoso
En cualquiera de estos casos, seguramente se trate de una estafa de phishing. Más adelante le explicaremos cómo debe proceder en estos casos para protegerse.
Principales tipos de phishing
Existen varios tipos de estafas de phishing. Aunque todas tienen el mismo objetivo (obtener información personal de alguien para beneficio propio), cada una de ellas varía en el medio que utiliza para llevar adelante el engaño y la potencial víctima que puede caer en ella. A continuación, le contamos cuáles son las principales estafas de phishing.
Email phishing o phishing por correo
Este es el tipo de phishing más común que existe. El ciberdelincuente envía correos electrónicos a cualquier dirección que pueda obtener, inventando una historia que invita al usuario a entregar su información personal o a hacer clic en un enlace que descargará un malware en su dispositivo.
Spear phishing
La característica principal de este tipo de engaño es que es personalizado. En lugar de enviar un mensaje genérico a cientos de potenciales víctimas, el ciberdelincuente ataca a personas, grupos u organizaciones específicas. El objetivo sigue siendo el de siempre: obtener información personal para usarla según su conveniencia.
En este tipo de ataque, el hacker envía mensajes o correos electrónicos falsos de apariencia legítima que incluyen información conocida o de gran interés por su potencial víctima, como eventos actuales o documentos financieros. Estos mensajes están diseñados para convencer al usuario de que abra un enlace o archivo adjunto y, en consecuencia, descargue un programa malicioso (malware) que podría comprometer la seguridad de su dispositivo.
Whaling attack
El término whaling attack (ataque ballenero) se debe a que el ciberdelincuente no va detrás de cualquier víctima o “pez”, sino que se enfoca específicamente en engañar a una persona muy importante y con mucha relevancia en una empresa, es decir, una “ballena”.
Este tipo de engaño está dirigido específicamente a empleados de alto perfil, como un director ejecutivo o un director financiero, para robar información confidencial de una empresa. En muchos de estos ataques, el objetivo del hacker es manipular a la víctima para que autorice transferencias electrónicas de alto valor al atacante o le brinde información sensible sobre la compañía donde trabaja.
Smishing
La palabra smishing es una combinación de SMS (servicio de mensajes de texto) y phishing.
En este tipo de ataque, el ciberdelincuente envía un mensaje de texto que finge provenir de una institución legítima para engañar al destinatario y que le envíe información privada o haga clic en un enlace y, en consecuencia, se descargue un programa malicioso en su teléfono celular.
Vishing
Vishing es la unión de las palabras voz y phishing. En este ataque, el estafador llama a su víctima por teléfono y se hace pasar por un representante de una reconocida organización para robar su información confidencial.
SEO poisoning
Si usted navega con frecuencia en Internet para buscar información, lugares u objetos (entre otras posibles búsquedas), tenga cuidado con el SEO poisoning (sitio disponible solo en inglés). En esta táctica, un hacker elabora sitios web maliciosos usando palabras clave (keywords) para aumentar su visibilidad y que aparezcan primeros en los resultados de búsqueda. Un usuario distraído puede llegar a entrar a alguno de estos sitios (por ser de los primeros que aparecen en su búsqueda) e instalar, sin darse cuenta, un malware en su dispositivo o divulgar información confidencial a un ciberdelincuente.
Phishing de clonación
En el phishing de clonación, un hacker copia un correo electrónico original de una organización legítima para enviar, a través de él, correos masivos con enlaces a sitios web falsos a la espera de que un usuario desprevenido haga clic en él. En otras palabras, el delincuente suplanta la identidad de una entidad oficial.
En general, suele clonar algún correo electrónico que sus potenciales víctimas hayan recibido previamente. De esta forma, si lo reciben nuevamente, es muy posible que no les resulte extraño y terminen por hacer clic en el enlace que aparece. En consecuencia, serán redirigidos a una página falsa que les robará algún usuario y contraseña o les pedirá algún otro tipo de información personal.
4 consejos para evitar el phishing
A continuación encontrará las principales formas para prevenir ataques de phishing.
1. Aprenda a identificar los mensajes o correos de phishing
Como vimos, la mayoría de estos ataques suceden a través de mensajes de texto o correo electrónico. Por eso, lo más seguro para evitar caer en este engaño es prestar atención a determinadas señales. Cuando abra un mensaje o correo, mire con atención lo siguiente:
El nombre del remitente y su dirección de correo electrónico. Compruebe que el remitente sea conocido y que el correo sea legítimo. Para ello, verifique que el dominio (texto que está a continuación de la arroba "@") corresponda exactamente con la organización de la que dice provenir.
Los errores de ortografía y/o redacción. Para elaborar muchos de los correos o mensajes falsos, los delincuentes usan traductores automáticos. Por lo cual, es muy común que contengan algún error ortográfico o frase extraña. Desconfíe cuando esto ocurra.
La dirección URL del enlace que le invitan a hacer clic. Antes de abrir cualquier enlace que le envíen por correo, pase (sin hacer clic) el ratón por encima de él. A continuación, aparecerá una pequeña ventana con la verdadera dirección URL a la cual se dirige el mencionado enlace. Si ve que no coincide con la que aparece en el correo o cree que no pertenece al sitio que dice representar, es muy probable que esté frente a una estafa de phishing.
El contenido del mensaje o correo. Como mencionamos antes, los mensajes de phishing suelen contener un “anzuelo” para que una persona “muerda”, pudiendo ser la promesa de algún premio o la urgencia de una deuda, entre otros. Por eso, desconfíe de todos los mensajes que le prometan premios de sorteos en los que no se inscribió, ofertas de trabajo a las que no se postuló o correos que amenazan con supuestas deudas o temas legales, por mencionar algunos ejemplos.
2. Aprenda a identificar sitios web fraudulentos
Cuando navegue por una página que le pide sus datos personales, antes de escribir algo preste atención a lo siguiente:
La URL de la barra de direcciones del navegador. Si ve que contiene alguno de los siguientes errores, desconfíe y abandone el sitio web:
contiene el nombre de la página oficial, pero no es la dirección oficial;
contiene el nombre del sitio oficial, pero con alguna letra o símbolo extra
tiene un error ortográfico;
la URL no comienza con “https://”.
La calidad del texto. Si contiene errores de ortografía o frases extrañas, desconfíe de la página y abandónela.El diseño de la página. Si el sitio web no se corresponde con los colores o logos oficiales de la organización que dice representar, desconfíe.
3. Utilice un buen navegador
Al usar un navegador seguro, evitará que ocurran ciertas acciones no deseadas como abrir cookies o compartir su identidad. Cada navegador tiene sus ventajas y desventajas. Estos son algunos de los navegadores recomendados por McAfee, una de las empresas líderes de servicios antivirus:
Firefox. Es un navegador que garantiza una gran privacidad y seguridad. También se actualiza regularmente, lo que ayuda con la prevención de amenazas.
Google Chrome. Es un navegador intuitivo y seguro cuyas funciones de navegación segura advierten a los usuarios cuando están en sitios de phishing o malware.
Brave. Aunque no tiene tantos usuarios, se toma muy en serio la seguridad. Cada vez que usted abandona Brave, el navegador le pregunta si desea eliminar datos y cuáles. Además, le permite elegir el nivel de seguridad y privacidad que desea.
Tor. Además de tener funciones como borrar todas las cookies cuando está cerrado, este navegador hace un esfuerzo máximo por preservar su anonimato y resguardar su privacidad.
4. Instale un antivirus en su computadora
Los antivirus son grandes aliados para usted y su computadora. Asegúrese de que el antivirus que instale sea confiable. Además, configúrelo para que se actualice automáticamente de modo que pueda detectar cualquier nueva amenaza de seguridad.
Qué hacer en caso de sufrir una estafa de phishing
Pasos a seguir si ha recibido un correo electrónico o mensaje de texto de phishing (o sospecha que así fue), pero no ha hecho clic en él
Reporte la dirección del remitente a su proveedor de correo electrónico o mensaje de texto, según corresponda.
Reporte también a las entidades gubernamentales que investigan estafas de phishing, ya que la información que usted aporte puede ayudar a localizar y combatir a los ciberdelincuentes. Puede reportar su situación de las siguientes formas (se recomienda hacer las dos):
Si recibió un correo electrónico de phishing, reenvíelo a reportphishing@apwg.org. Si recibió un mensaje de texto de phishing, reenvíelo a SPAM (7726).
Reporte el ataque en robodeidentidad.gov.
Elimine de su buzón el correo electrónico o mensaje de texto sospechoso y bloquee al remitente.
Pasos a seguir si respondió un correo electrónico o mensaje de texto de phishing
Si cree que un estafador tiene información suya, hay varias acciones que puede realizar para protegerse, las cuales dependen del tipo de información que se haya sido robada.
Si robaron su nombre de usuario o contraseña de una cuenta:
Inicie sesión en esa cuenta y modifique su contraseña. De ser posible, haga lo mismo con su nombre de usuario. Si no puede iniciar sesión, comuníquese con el servicio de atención al cliente de la plataforma y explíquele lo sucedido para poder recuperar su cuenta o cerrarla.
En caso de que use la misma contraseña para otros sitios, cambie también esas contraseñas.
Si cree que un estafador tiene el usuario y contraseña de su banca en línea (homebanking), revise también los últimos movimientos de su cuenta para verificar si hay gastos que usted no hizo.
Si robaron datos bancarios como número de tarjeta de crédito o información de cuenta:
Comuníquese con su institución financiera para cancelar su tarjeta o cuenta y solicitar una nueva.
Verifique sus transacciones con regularidad para asegurarse de que nadie haya usado su tarjeta o cuenta sin su permiso. Si encuentra cargos fraudulentos, comuníquese con la entidad bancaria y pida que los eliminen.
Recuerde actualizar sus pagos automáticos para que se carguen a su nueva tarjeta o cuenta.
Revise su informe de crédito en annualcreditreport.com.
Reporte el ataque de phishing a las entidades gubernamentales que combaten estafas:
Si recibió un correo electrónico fraudulento, reenvíelo a reportphishing@apwg.org. Si recibió un mensaje de texto falso, reenvíelo a SPAM (7726).
Reporte el ataque de phishing en robodeidentidad.gov.
Si hizo clic en un enlace o abrió un archivo adjunto sospechoso que permitió la descarga de un programa malicioso en su dispositivo, actualice su antivirus y luego haga un escaneo completo.
Comparta esta información
Las estafas de phishing son un asunto serio. Lamentablemente, demasiadas personas caen a diario y son víctimas de robos. Frente a esto, la mejor forma de combatirlas es informándose. Esperamos que esta guía le haya resultado útil para conocer este tipo de engaño y pueda prevenirse de él.
Comparta esta información con sus amigos, familiares y conocidos. Entre todos, podemos empoderar a nuestra comunidad y evitar situaciones desagradables. Recuerde que SABEResPODER.
