¿Qué es el phishing y cómo evitarlo?

Cuando se dice que somos el país de la picaresca quizá no nos falte razón. Y es que el 89 % de los españoles declara haber sido estafado alguna vez en su vida. Puede que no sea nada nuevo, pero lo que sí lo es es que este amplio grupo cada vez cuenta con más víctimas de phishing, un modo de ciberestafa la mar de extendido.

¿Qué es el phishing?

Se trata de una técnica de ingeniería social utilizada por ciberdelincuentes. Al usarla, buscan obtener información sensible, como contraseñas, datos bancarios o cualquier otra credencial de acceso. Para conseguirlo, el atacante se hace pasar por una entidad legítima con el fin de engañarte y que le reveles lo que quiere.

¿Cómo lo consiguen? El ataque puede tomar múltiples formas. Puedes recibir un sencillo correo electrónico, un mensaje de texto o una notificación que parece provenir de una fuente de confianza para el receptor (bancos, empresas, etc). Y esta es la clave de todo el engaño. Bajo esa apariencia legítima, solicitan datos clave que de otra forma evitaríamos entregar. Al fin y al cabo, parece que nos los pide una institución o persona en la que confías.

Dadas sus características, el phishing es una de las amenazas más comunes y efectivas. Para los cibercriminales, su coste es bajo y su tasa de éxito muy alta. Esto último se debe a que no depende de aprovechar un fallo técnico, sino que se basa en provocar un error humano. Pese a que existen medidas para protegerte, como los filtros de spam, basta que un correo electrónico malicioso o SMS lo traspase para que puedas caer.

Así que, para evitarlo es indispensable mantener una sana desconfianza con todo aquello que recibimos, especialmente con mensajes urgentes o que te soliciten de manera directa datos confidenciales. Nuestro criterio es tan importante como el uso de las más avanzadas formas de defensa.

Cómo identificar mensajes sospechosos

Aunque los estafadores se esfuerzan por tapar sus huellas, sigue habiendo detalles que suelen delatarlos. Repasemos algunas maneras de detectar que un correo electrónico no es del todo fiable:

Los correos deben tener la imagen y el nombre de empresas reales o el de un empleado. Si no es así, sospecha.
Siempre se incluyen webs similares visualmente a las de empresas reales, pero cuya dirección no es idéntica. Por eso, fíjate en las URL.
Se suele utilizar el gancho de los regalos o de las amenazas de la pérdida de una cuenta. ¡No te lo creas! Si no estás participando en ningún concurso, hay pocas probabilidades de que alguien te regale algo. Y las cuentas no expiran así como así.

Verifica la fuente de información

Por seguridad, tu banco o cualquier entidad oficial nunca va a solicitar que les envíes tus datos personales o tus claves por correo electrónico. Precisamente, las políticas de protección de datos personales desaconsejan rotundamente compartir este tipo de datos online.

Si aun así te queda alguna duda, consúltalo. Antes de hacer nada, siempre puedes llamar previamente a tu sucursal para aclararlo. Desde allí te confirmarán si el correo es suyo o no, y podrás actuar en consecuencia. Apóyate en los canales oficiales y sus servicios de atención al cliente, ¡están ahí para ti!

No accedas a tu entidad financiera por links en e-mails

Si tu entidad financiera tiene su propia web y aplicaciones es para garantizar tu seguridad online, entre otros. Evita los hipervínculos adjuntos en los correos electrónicos. Estos podrían llevarte a una web fraudulenta y, por lo tanto, al robo de datos.

Por eso, te recomendamos que accedas a la banca online desde tus marcadores o tecleando el nombre en tu buscador. Así es más fácil no acabar entrando en sitios web peligrosos. Y esto aplica a cualquier caso, tanto cuando estés usando el móvil como si se trata de una tablet u ordenador.

¿Está seguro tu ordenador?

Siempre es importante mantener nuestro ordenador seguro por si entra algún virus. Esta también es una de las formas que aprovechan los piratas informáticos para coger nuestros datos y documentos. Por eso nunca viene mal reforzar tu seguridad con un buen antivirus que bloquee estos ataques, también en el caso del phishing. Mantener a salvo tu privacidad cuesta poco.

Otra forma de reforzar tu seguridad es actualizando frecuentemente tus navegadores y sistemas operativos. Así evitarás que los phishers puedan meterse en tu ordenador y obtener tus datos sin que te enteres. Las actualizaciones de nuestros dispositivos suelen mejorar las barreras de seguridad. Intenta no posponerlo, solo tomará un momento.

Cuidado con tus datos personales y confidenciales

En la medida de lo posible, intenta no compartirlos con amigos o familiares a través de Whatsapp o similares. Introdúcelos solo en webs seguras: estas deberán comenzar por «https://» y fíjate que tengan a su derecha un icono de un candado cerrado. En caso de que no sea así, el riesgo de que los datos que introduzcas puedan ser robados aumenta. ¿Te habías fijado alguna vez en esto? Igual a tus amigos también les interesa saberlo. Al comprobar esto, te aseguras de que tus datos confidenciales quedan protegidos.

Revisa tus cuentas regularmente

Igual que controlamos lo que gastamos, también es importante controlar lo que guardamos. Para aumentar aún más la seguridad, nunca está de más que revises periódicamente tus cuentas. Así te aseguras de que nadie ha hecho una transacción online no autorizada.

Recuerda también vigilar tus cuentas de eBay, de PayPal y de Facebook de manera regular, para comprobar que no hay ninguna irregularidad. Quizá no es muy entretenido, de acuerdo. Pero te aportará gran tranquilidad saber que estás seguro. Puedes marcártelo como un to do semanal, quincenal o mensual.

Pueden llegarte mensajes en cualquier idioma

Por norma general, los mensajes que provienen del phishing están mal traducidos o cometen errores ortográficos o de estructura. A veces, también presentan fallos en el diseño del mail. El tema del idioma es un factor a tener en especialmente en cuenta. Si utilizas tu banca en español, piensa que no debería llegarte un mensaje en inglés o en cualquier otro idioma.

Cuidado con épocas claves como verano o navidades

Que este tipo de ataques aumente en épocas de fiesta no es nada extraño. Los delincuentes son conscientes de que las vacaciones les ofrecen varias ventajas. Buena parte de los usuarios van a relajar sus hábitos de seguridad y en los ámbitos corporativos relajarán las defensas.

Como un gran número de personas están buscando alojamiento o transporte hacia su destino vacacional, es normal que proliferen webs falsas. Estas también se pueden utilizar para el phishing, pues con ellas se imita a la real. Así que, si estás en esta situación, ten cuidado con los sitios que visitas.

Otro aspecto a tener en cuenta es que los delincuentes aprovechan temáticas veraniegas o navideñas para planear sus ataques. Usan reservas de viajes, descuentos en compras, confirmaciones de vuelos o promociones de ocio para construir correos y mensajes más creíbles. Por tanto, recurren a señuelos contextualizados con el fin de aumentar el éxito de sus estafas, algo que no les cuesta conseguir.

Y las empresas tampoco se salvan. Con el personal reducido por las vacaciones, los sistemas de supervisión y respuesta se debilitan. No se presta tanta atención a correos sospechosos, por ejemplo, lo que puede traer graves consecuencias. Al fin y al cabo, si una organización cae en un simple phishing, quizás esté expuesta a ataques de mayor calado.

“Existen multitud de tipos de phishing que se adaptan a todo tipo de canales de comunicación”

Las mil y una formas que puede tomar el phishing

Lo cierto es que no existe una única forma de utilizar esta estafa. De hecho, hay multitud de tipos, ya que los delincuentes se adaptan a los diferentes canales de comunicación disponibles para realizar los ataques. Ya sea mediante una página web falsa o la propagación de un código QR, procura estar preparado para no dar un paso en falso. Y como conocerlas es la mejor forma de evitarlas, vamos a revisarlas una por una:

Phishing bancario

Es una modalidad específica de suplantación de la identidad en la que un ciberdelincuente se hace pasar por una entidad financiera. El objetivo es el de obtener credenciales de acceso, datos de tarjetas o claves de firma electrónica. Para realizar el ataque, se envían correos electrónicos, SMS o mensajes instantáneos que aparentan provenir del banco del usuario.

El contenido de los mensajes solicita que se efectúe la verificación de una operación, que se actualicen datos o que se acceda a una plataforma para acabar un procedimiento. Así que, se plantean diferentes trampas en las que puedes caer si no te fijas.

Si quieres tener una vida digital financiera más segura, es esencial que evites caer en este tipo de estafas. De lo contrario, podrías exponer los ahorros de toda una vida o las cuentas de varios familiares.

De entidades públicas

Es similar al anterior método, solo que en esta variante se suplanta a entidades públicas muy conocidas. Tal es el caso de la Agencia Tributaria, la Seguridad Social o servicios de salud, entre otras. Quizás te pidan que revises un borrador de la declaración de la Renta en el que faltan datos, por ejemplo.

Aquí, de nuevo, en festividades se intensifican los ataques. Por ejemplo, el principio de las vacaciones coincide con el final de la campaña de la Renta, un momento propicio para que los delincuentes prueben suerte, sobre todo si consiguen encontrar víctimas desprevenidas en su destino vacacional.

De hecho, es frecuente que se utilicen los mensajes urgentes relacionados con alguna institución. Ante la llegada de una notificación, lo normal es que el usuario la tenga muy en cuenta. Al fin y al cabo, suele tratarse de una comunicación importante emitida por un organismo de total confianza.

En redes sociales

Las redes sociales son plataformas que ofrecen numerosas oportunidades a los delincuentes. En ellas se pueden hacer pasar por personas famosas e interactuar directamente con los usuarios para engañarles. Desde realizar publicaciones patrocinadas falsas o tentar con promociones, disponen de múltiples mecanismos para estafar.

Basta con que diseñen un concurso falso en el que es posible ganar un viaje a un destino turístico muy popular. En la publicación que hacen, dejan un enlace que te lleva a una página fraudulenta en la que ves que has ganado. Acto seguido y con un sencillo clic, estás frente a un formulario en el que dejar tus datos personales para contactarte, por ejemplo. Así de fácil puedes caer.

Smishing

Tras este peculiar nombre, se esconde una variante que se realiza en exclusiva a través de SMS. El ataque consiste en un mensaje de texto que se hace pasar por el propio que enviaría una entidad legítima. Un ejemplo es uno en el que Correos te advierte de que un paquete se encuentra bloqueado en la aduana. La única forma de solucionar el problema es que accedas a un enlace que, por supuesto, es fraudulento.

QRishing

En el QRishing se utilizan códigos QR para engañar a los usuarios y dirigirlos a sitios web maliciosos. En vez de recibir un SMS o un correo, tal vez encuentres un código en un espacio público ligado a un mensaje promocional. Al escanearlo con tu teléfono, accedes a una página que imita a una fiable en la que te solicitan los datos bancarios. Todo el proceso ocurre con suma rapidez. Podría estar camuflado como una carta exterior de un restaurante, por ejemplo.

Al mismo tiempo, podrías llegar a descargar programas maliciosos sin darte cuenta. Así que, evita escanear este tipo de códigos cuando los encuentres en tu lugar de vacaciones. Salvo que sepas que es seguro, no merece la pena jugársela.

Vishing

Esta modalidad se lleva a cabo mediante llamadas telefónicas. Los atacantes se hacen pasar por representantes de bancos, servicios públicos o empresas conocidas. Para que piques, usan técnicas persuasivas y crean un sentido de urgencia para conseguir manipularte.

De hecho, en los últimos años, se ha vuelto común que empleen la inteligencia artificial para suplantar voces o generarlas desde cero. Esto permite a los delincuentes simplificar los ataques y volverlos masivos. Y no solo se limitan a ofrecerte una buena oferta en un destino turístico, también se hacen pasar por empresas ofreciendo trabajo, por ejemplo.

Señales para detectar un intento de phishing y cómo evitarlo

Es fundamental que seamos capaces de detectar un intento de phishing para saber si somos víctimas de un cibercrimen. Recuerda que es un tipo de estafa que se centra en el engaño, es decir, en hacer que las personas se equivoquen. Pero, por suerte, siempre deja pistas. Fíjate en estos indicios:

El remitente es desconocido o sospechoso: Correos provenientes de direcciones que no corresponden a la organización oficial, con dominios extraños o que imitan al nombre original (por ejemplo, @micros0ft.com en lugar de @microsoft.com)
El saludo es genérico: Correos que no personalizan el mensaje con el nombre del destinatario pueden indicar que es fraudulento.
Contiene errores ortográficos y gramaticales: Mensajes mal redactados, con faltas de ortografía, frases incoherentes o textos que parecen traducidos suelen ser indicios claros, ya que los atacantes muchas veces no cuidan el contenido.
Incluye solicitudes urgentes o amenazas: El intento de generar presión para que el receptor actúe rápido, como advertencias de bloqueo de cuenta, multas inminentes o la aplicación de comisiones, es una táctica frecuente para inducir a errores.
Usan enlaces acortados y webs no seguras: Desconfía de URLs que usan acortadores o redireccionan a páginas con certificados no válidos. Antes de clicar, puedes verificar la dirección colocando el cursor sobre el enlace.
Se piden datos confidenciales: Las organizaciones legítimas no suelen solicitar información sensible, como contraseñas o números de tarjeta, vía correo o mensaje. De hecho, en sus comunicaciones con los clientes avisan, precisamente, de que no las piden.
Hay inconsistencias en el formato: Busca logotipos pixelados, formatos extraños o incoherentes con la comunicación oficial.

Consejos para protegerte durante las vacaciones

Además de fijarte en los indicios anteriores, conviene que minimices los daños siguiendo estas indicaciones:

Evita conectarte a redes Wi-Fi públicas sin protección. Las redes abiertas son un objetivo frecuente para los atacantes.
Si vas a conectarte fuera de casa, utiliza siempre una VPN o redes móviles seguras para proteger tus datos.
Desconfía de mensajes urgentes o inesperados. Correos, SMS o mensajes en redes sociales que piden información personal o financiera deben analizarse con precaución.
Ten cuidado con tiendas desconocidas que ofrecen productos demasiado baratos.
Nunca facilites datos sin verificar la autenticidad del remitente.
No hagas clic en enlaces sospechosos. Antes de abrir un enlace, verifica la URL pasando el cursor sobre él o utilizando herramientas de escaneo. Recuerda que los atacantes usan enlaces falsos para dirigir a páginas fraudulentas.
Actualiza tus dispositivos y aplicaciones. Mantener el software al día es fundamental para protegerte contra vulnerabilidades explotadas por malware asociado al phishing.
Usa autenticación en dos pasos. Activa esta capa adicional de seguridad en tus cuentas, en especial en banca en línea y correo electrónico.
Evita compartir información sensible en redes sociales. Durante las vacaciones, no publiques detalles que puedan facilitar ataques dirigidos, como fechas exactas o ubicaciones.
Verifica las fuentes oficiales. Para gestiones relacionadas con viajes, reservas o servicios, utiliza siempre las páginas y canales oficiales.
Configura alertas de actividad sospechosa. En tus cuentas bancarias y correos, activa notificaciones para detectar accesos no autorizados rápidamente.
Realiza copias de seguridad. Guarda tus datos importantes para evitar pérdidas en caso de ataque.
Si quieres más guías para mantener tu identidad digital y dinero a salvo, te recomendamos echar un ojo a nuestros 15 consejos para evitar ciberestafas.

Cómo reaccionar si eres víctima de una suplantación de identidad

Si ya es tarde y descubres que has sido víctima de un ciberataque de suplantación de identidad, no sufras: todavía puedes hacer algo al respecto. Aunque ya hayan accedido a tu cuenta, puedes minimizar el daño expulsando al hacker de ella.

Entra a tu cuenta, cambia la contraseña y comprueba todas las configuraciones para asegurarte de que seguirás teniendo acceso una vez que cambies la clave. Por ejemplo, puedes revisar si hay una segunda dirección para recuperar la contraseña o si se ha reenviado algún e-mail.

También puedes ponerte en contacto con el servicio de ayuda si crees que es necesario. Sabrán qué hacer y te guiarán en el proceso.

Y recuerda que, ante cualquier sospecha, siempre conviene no arriesgarse. Disfruta de tu conexión cómo quieras y con quién quieras. ¡Ahora ya sabes cómo protegerte!

Sigue aprendiendo más sobre innovación y finanzas

¿Quieres mantener tus ahorros seguros y hacer que crezcan? Pues de eso y mucho más hablamos en ViveMásVidas, el blog de educación financiera de Cofidis. Aquí encontrarás contenidos gratuitos sobre tecnología e innovación, ahorro, inversión, movilidad, ayudas, jubilación y todo aquello que tiene que ver con tu dinero. Y hablando de dinero, recuerda que si necesitas arrancar un proyecto,

en Cofidis podemos ayudarte a financiarlo con un préstamo personal. 😉