Esta historia sobre phishing apareció originalmente en El Detector de Univisión
El uso de aplicaciones para acceder a tu cuenta bancaria, hacer la compra en tu supermercado de confianza o recibir tu nuevo celular a través de una empresa de paquetería está cada vez más a la orden del día. Millones de usuarios hacen millones de transacciones en internet, y ese movimiento de dinero también atrae a delincuentes.
Los ciberestafadores buscan, sobre todo, hacerse con los datos bancarios de los usuarios y, para ello, utilizan varias técnicas. La más conocida es el phishing.
El phishing es “un intento de un individuo o grupo de solicitar información personal de usuarios desprevenidos mediante el empleo de técnicas de ‘ingeniería social’ ”, por las que los ciberdelincuentes suplantan identidades para que los mensajes “parezcan enviados por una organización legítima o una persona conocida” y generar así confianza en el receptor, según, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés), integrada en el Departamento de Seguridad Nacional de EEUU.
¿Por dónde llegan las ciberestafas?
El atacante puede parecer modesto, humilde, respetable, hacerse pasar por organismos oficiales y empresas “e incluso ofrecer credenciales para respaldar esa identidad” y poder así “reunir información suficiente” para lograr su objetivo, según CISA.
Estos intentos de ciberestafa pueden llegar por email, activarse a través de sitios web, o entrar con mensajes directos a tu celular, esto último conocido como smishing. El smishing sucede cuando recibimos un SMS en el que se pide que se pinche en el enlace o se descargue un archivo. Al hacerlo se baja un malware en el teléfono que puede captar información personal y enviarla al atacante.
Para evitar ser víctima de estas estafas, la CISA recomienda no revelar información personal o financiera a través del correo electrónico y no responder las solicitudes de este tipo de información por esa vía.
“Esto incluye seguir los enlaces recibidos por email”, añaden.
¿Cómo reconocer un mensaje sospechoso?
La CISA también recalca que existen una serie de características que nos tienen que hacer sospechar sobre el mensaje, email o llamada telefónica recibida y para evitar así caer en las trampas de los ciberdelincuentes:
1 – Sitios web falsificados
Los sitios web maliciosos pueden parecer idénticos a los legítimos, pero la dirección de la web, también conocida como URL, puede usar una variación en la ortografía o un dominio diferente. Una original podría terminar en .com: “xxxx.com” y una fraudulenta en .net: “xxxx.net”.
También pueden utilizar un programa para acortar la URL y así evitar que el usuario pueda darse cuenta de esos pequeños cambios.
La CISA recomienda buscar que la dirección web comience con ‘https’ (con la s incluida), una indicación de que los sitios son seguros; si empiezan con ‘http’ es probable que no lo sean.
También sugiere que busquemos el icono del candado cerrado delante de la URL, una señal de que su información estará encriptada y, por tanto, más protegida. Es lo que puede verse en el ejemplo que ponemos arriba.
También lee: Fraude de tarjeta de crédito: cómo evitar caer en phishing
2 – Correo electrónico sospechoso
Este es el mismo caso que con la URL fraudulenta. Los ciberdelincuentes pueden añadir, eliminar o variar una letra en el remitente para que la falsa dirección web de ese organismo, empresa o persona por el que se quieren hacer pasar se parezca a simple vista a la original.
Hay que fijarse, sobre todo, en lo que viene después de la @. Los organismos, empresas o personas de reconocido prestigio suelen tener dominios a su nombre. Por ejemplo, la empresa de paquetería FedEx utiliza esta palabra en su dirección web, como puede verse en el ejemplo que mostramos en la imagen de arriba. En el caso de su email de contacto en Francia es “france@fedex.com”.
3 – Emails con errores ortográficos e impersonales
Errores ortográficos y falta de coherencia en la estructura del texto y de las frases son indicadores de que puede ser una estafa. También lo es que el mensaje venga con un saludo genérico, no personal, y que no facilite información de contacto más allá de la dirección desde la que el usuario recibe la comunicación.
Las instituciones de renombre y confiables cuentan con equipos que se dedican a escribir los mensajes que recibes para evitar que contengan este tipo de fallos, como puede verse en la gráfica que mostramos arriba.
4 – Posibles archivos adjuntos dañinos
Si te llega un email que no esperabas, en el que te piden que descargues y abras un archivo adjunto (como se ve en el ejemplo de la imagen), no lo hagas.
Es muy probable que sea un archivo malicioso para poder acceder a tu computadora y robarte datos comprometedores. Es lo que se conoce como malware. Para engañar, el ciberestafador apela a una situación urgente o muy importante para que el usuario instale ese archivo sin examinarlo primero.
Como mencionamos, este tipo de archivos también pueden llegar por SMS.
Para verificar que no se trate un mensaje dañino siempre podemos acudir a la fuente primaria a la que se hace alusión en el email, mensaje de texto o enlace que nos ha llegado, para verificar si realmente lo que se dice en la información recibida es cierto o no.
Por ejemplo, si nos dicen que nos tocó un bono para la compra en una cadena de supermercados, es recomendable acudir a la web de esa empresa a ver si es cierto que se están dando esos bonos.
¿Qué hacer si has sido víctima de phishing?
A pesar de las advertencias y el celo que pongamos en evitar caer en uno de estos ataques, nadie está libre de caer en la trampa.
Si hemos caído en un phishing o smishing por el que nuestras cuentas bancarias puedan haberse visto afectadas, la CISA recomienda ponerse en contacto de inmediato con el banco y cerrarlas, así como estar atentos a movimientos o cargos inexplicables si cree que sus cuentas financieras puedan verse afectadas.
Si puede que se haya revelado alguna contraseña, aconsejan “cambiarla inmediatamente” en la cuenta comprometida y en el resto de servicios en los que también se utilizaba y no volverla a emplear en el futuro. Además, recomiendan denunciar el ataque en la policía.
Por último, si el estafado o persona que detecta lo que puede ser un intento de phishing o smishing cree que más gente puede haberse visto afectada, la CISA recomienda comunicarse con ellas para que tomen las medidas comentadas.Este es un artículo en alianza con Factchequeado, un medio de verificación que construye una comunidad hispanohablante para contrarrestar la desinformación en español en Estados Unidos. ¿Quieres ser parte? Súmate y verifica los contenidos que recibes enviándolos a nuestro WhatsApp +16468736087 o a factchequeado.com/whatsapp
También lee: Robos a tarjetas del Fondo para Trabajadores Excluidos afectan a inmigrantes