Internet es una gran fuente de información y sus servicios como el correo electrónico, banca online, redes sociales, etc. elementos de interés para los ciberamigos del ajeno. Uno de los principales métodos utilizados por los ciberdelincuentes para robar información es el phishing. Este anglicismo no te resultará extraño, ya que hemos hablado de él muchas veces, pero si todavía no sabes lo que es no te preocupes, en este artículo te contaremos qué es y cómo puedes identificarlo para no caer en la trampa .
El “concepto”
Se trata de una técnica utilizada por los ciberdelincuentes para obtener información personal y bancaria de los usuarios suplantando a una entidad legítima cómo puede ser un banco, una red social, una entidad pública…
El phishing más común es lo que se propaga a través del correo electrónico, aunque los ciberdelincuentes pueden utilizar otros canales para propagar su timo como son las redes sociales, aplicaciones de mensajería instantánea SMS.
Independientemente del medio utilizado, el objetivo final siempre es obtener información confidencial: nombres y apellidos, direcciones de correo electrónico, números de identificación personal, número de tarjeta de crédito, etc. Para obtener esta información los ciberdelincuentes generalmente se valen de la ingeniería social y deun enlace que redirige al usuario a una página web fraudulenta que simula ser la web legítima, en algunas ocasiones pueden utilizar documentos adjuntos para perpetrar el hurto de datos.
La "estrategia"
Estos mensajes fraudulentos utilizan todo tipo de argucias para engañar a la víctima y forzar a ésta en tomar una decisión rápidamente o las consecuencias serán negativas como es, por ejemplo, la denegación de un servicio o la pérdida de un regalo o promoción. Las técnicas más utilizadas son:
- Problemas de carácter técnico de la entidad a la que suplanten.
- Problemas de seguridad y privacidad en la cuenta del usuario.
- Recomendaciones de seguridad para evitar fraudes.
- Cambios en la política de seguridad de la entidad.
- Promoción de nuevos productos.
- Vales descuento, premios o regalos.
- Inminente cese o desactivación del servicio.
Una característica destacable en muchos de los mensajes de phishing es que suelen contener faltas de ortografía y errores gramaticales. Esto se debe a que los mensajes son creados por herramientas automatizadas que utilizan funcionalidades de traducción y diccionarios de sinónimos con los que varían los mensajes para que no sean siempre iguales.
El “propósito”
Bancos y cajas
Excusa: actividad anómala en su cuenta, mejoras en las medidas de seguridad, bloqueo de la cuenta por motivos de seguridad, cambio en la normativa del banco, cierre incorrecto de sesión, etc.
Objetivo: obtener información bancaria como son los números de tarjeta de crédito, tarjetas de coordenadas, claves de acceso a banca online, número PIN, etc.
SMS falso suplamentante en Bankia
Pasarelas electrónicas de pago (PayPal, Visa, MasterCard, etc.)
Excusa: muy similares a las utilizadas para suplantar bancos y cajas. Cambio en la normativa del servicio, cierre incorrecto de sesión, mejoras en las medidas de seguridad, detectada actividad anómala, cancelación del servicio, etc.
Objetivo: robar información bancaria y claves de acceso con la que les ciberdelincuentes obtengan un beneficio económico.
Correo fraudulento suplantante en MasterCard con un archivo adjunto
Redes sociales (Facebook, Twitter, Instagram, Linkedin, etc.)
Excusa: alguien te ha enviado un mensaje privado, se ha detectado actividad anómala en tu cuenta, por motivos de seguridad es necesario que verifiques las claves de acceso, etc.
Objetivo: robar cuentas de usuario para obtener información personal, suplantación de identidad.
Phishing en Twitter
Páginas webs de compra/venta y subastas
Excusa: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.
Objetivo: robar cuentas de usuarios y estafarlos económicamente.
Phishing en Amazon
Juegos online
Excusa: fallos de seguridad en la plataforma, tareas de mantenimiento, actividad anómala detectada en la cuenta del usuario.
Objetivo: robar cuentas de usuario con el fin de obtener datos personales e información bancaria, suplantar la identidad del usuario o pedir un rescate por cuenta.
Phishing en World of Warcraft (WoW)
Soporte técnico y ayuda de grandes empresas (Outlook, Yahoo!, Apple, Gmail, etc.)
Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.
Objetivo: robar cuentas e información personal del usuario.
Phishing en Apple
Servicios públicos
Excusa: informar sobre una notificación, multa, paquete no entregado, reembolso económico, etc.
Objetivo: infectar el dispositivo del usuario con malware, robarle datos personales e información bancaria.
Phishing en la Agencia Tributaria
Servicios de almacenamiento en la nube
Excusa: tareas de mantenimiento, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta del usuario, se ha superado el límite de capacidad del servicio, etc.
Objetivo: obtener credenciales de acceso al servicio para robar información privada del usuario.
Phishing en Google Docs
Servicios de mensajería
Excusa: el paquete no ha podido ser entregado al cliente, paquete a la espera de ser recogido, información sobre el seguimiento de un paquete.
Objetivo: infectar equipos con malware, robar información personal así como datos bancarios del usuario.
Phishing en DHL
Falsas ofertas de trabajo
Excusa: ofrecer posiciones de trabajo
Objetivo: robar información personal, información bancaria y dinero.
Oferta de trabajo falso
Vale de descuento
Excusa: regalar al usuario un vale descuento, cupón o premio.
Objetivo: obtener información personal del usuario, suscribirlo a listas de publicidad por email oa servicios de SMS Premium, invitarle a descargar aplicaciones, instarle a llamar a números de tarificación especial, instalar malware en su dispositivo.
Vale de descompre falso en Mercadona
La "protección"
Entre las medidas de seguridad que podemos aplicar es configurar la opción antiphishing que incorporan los navegadores la cual avisa al usuario cuando está intentando acceder a un sitio web identificado como fraudulento. Las distintas opciones antiphishing que incorporan los navegadores más usados son:
- El Filtro SmartScreen deInternet Explorer.
- Protección contra el Malware y el Phishingen en Firefox.
- Protección contra phishing y software malicioso en Google Chrome.
- Protección contra la suplantación de identidad (phishing) en Safari.
La legitimidad de un sitio web: esencial para evitar estafas.
La mayoría de los ataques de phishing imitan a entidades oficiales o empresas reconocidas como Apple, Google, Facebook, Bancos, etc. Estas empresas por norma general cuentan con un certificado digital que identifica a la organización.
Puede darse el caso de que la organización a la que suplantan no disponga de un certificado digital en ciertas partes de la web. En estos casos, siempre recomendamos a los usuarios que si deben introducir datos de carácter personal o bancario lo hagan únicamente en páginas en las que se pueda identificar a la identidad que representan por un certificado.
¿Qué debes hacer si detectas un phishing o tienes dudas con una web?
- No facilites la información que te solicitan. En caso de duda consulta directamente a la empresa o servicio que representa o ponte en contacto con nosotros para hacernos llegar tu consulta.
- En ningún caso, NUNCA contestes estos correos.
- No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto.
- Elimínalo y, si lo deseas, alerta a tus contactos sobre ese fraude.
Ahora que ya conoces el “concepto”, el “propósito” y la “protección” sólo hace falta que apliques ese conocimiento a tus acciones diarias con el fin de evitar caer en este tipo de amenaza.