Phishing
¿Qué es el phishing?
Se trata de una técnica utilizada por ciberdelincuentes para obtener información confidencial como contraseñas, números de tarjetas de crédito y otra información de carácter personal de los usuarios. Del mismo modo, es utilizada para instalar programas maliciosos, malware, en los dispositivos de los usuarios.
Para ello, ponen en circulación correos electrónicos fraudulentos que suplantan la identidad de empresas y organizaciones principalmente, en los que, bajo cualquier excusa, solicitan al usuario que acceda a un enlace facilitado en el propio mensaje o que se descarguen algún fichero malicioso.
Explicado de otra forma, los ciberdelincuentes envían a los usuarios mensajes suplantando a una entidad legítima como puede ser un banco, una red social, un servicio, una entidad pública, etc. para engañarles y manipularles a fin de que acaben realizando alguna acción que ponga en peligro sus datos o instalando programas maliciosos que capturarán y enviarán credenciales o información cuando acceda a determinadas páginas.
Mantente informado de los distintos fraudes y amenazas que circulan por Internet
Recibe por correo electrónico los avisos de seguridad que mayor impacto están teniendo en cada momento, junto con una descripción y pautas sobre cómo actuar ante cada uno de ellos.
Tipos de correo de phishing
Los correos de phishing pueden suplantar a cualquier tipo de empresa o servicio. A continuación, mostramos algunos casos más frecuentes.
- Phishing bancario: suplantan a una entidad financiera legítima para obtener información bajo excusas como: bloqueo de cuenta, actividad sospechosa en la cuenta, cargos en cuenta, etc.
- Phishing a entidades públicas: suplantan a través del correo electrónico a entidades y organismos públicos bajo cualquier pretexto, como devolución de impuestos, pago multa de tráfico, obtención de ayudas, etc.
- Phishing a entidades privadas: captan la atención de los usuarios con asuntos y mensajes que apelan en muchas ocasiones a los sentimientos. Entre las empresas candidatas a ser suplantadas, encontramos las siguientes:
- Compañías eléctricas
- Tiendas y supermercados
- Mensajería y transporte
- Operadoras de telefonía
- Redes sociales
- Plataformas de videojuegos
- Servicios de almacenamiento en la nube
- Servicios de correo electrónico
- Plataformas de entretenimiento
Características de un correo electrónico de tipo phishing
- Remitente desconocido: en ocasiones los mensajes provienen de remitentes desconocidos que no están asociados con la empresa o entidad que supuestamente representan.
- Errores gramaticales y ortográficos: frecuentemente contienen errores gramaticales y ortográficos que sugieren que el correo no proviene de una fuente legítima.
- Solicitud de información: reclaman datos que una empresa legítima no solicitaría a través de este medio, como contraseñas, PIN, clave de firma, DNI, etc.
- Enlaces o archivos sospechosos: contienen enlaces que llevan a páginas web falsas o maliciosas o archivos adjuntos que pueden contener malware o virus.
- Amenazas o urgencia: incitan al destinatario a tomar medidas rápidas y de manera no razonada si no quiere tener alguna consecuencia o sufrir algún daño: problemas de seguridad, cierre de cuenta, multa, etc.
Recurso que te ayudará a analizar un enlace que puedas recibir a través de cualquier medio digital. Se trata de un simulación que recoge el paso a paso de cómo proceder.
Cómo evitar ser víctima de phishing
Evita ser víctima de fraudes de este tipo siguiendo nuestras recomendaciones:
- No abras correos que no has solicitado o proceden de usuarios desconocidos. Elimínalos y bloquea al remitente.
- No contestes en ningún caso a estos correos, ni envíes información personal como contraseñas, datos personales y bancarios.
- Mantén actualizados todos tus dispositivos y programas.
- Verifica quién te envía un mensaje antes de proporcionar cualquier información confidencial, aunque el mensaje aparentemente proceda de un usuario conocido.
- No pulses en enlaces facilitados en correos electrónicos sin antes verificar a qué sitio web te redirigen.
- No descargues ficheros adjuntos que pueda contener el mensaje, ya que podrían ser maliciosos y contener malware.
- Utiliza software de seguridad actualizado, como un antivirus, para proteger tu dispositivo de posibles amenazas de seguridad.
- Activa la autenticación de dos factores siempre que un servicio online lo permita para aumentar la seguridad de tus cuentas.
Qué hacer en caso de ser víctima de phishing
- Cambia tus contraseñas: Si proporcionaste información de inicio de sesión, cambia tus contraseñas inmediatamente. También es importante cambiar las contraseñas de cualquier otra cuenta que utilice la misma información para el inicio de sesión.
- Contacta con tu banco o entidad financiera: Si facilitaste datos bancarios, como números de tarjeta de crédito o clave de firma, es importante que te comuniques con tu banco lo antes posible para informarles del incidente y tomar medidas para proteger tu cuenta.
- Escanea tu dispositivo: Si pulsaste en algún enlace o descargaste algún archivo, escanea tu dispositivo con un antivirus en busca de malware o virus.
- Vigila regularmente qué información tuya circula por Internet para detectar si tus datos privados están siendo utilizados sin tu consentimiento. Practicar egosurfing te permitirá controlar qué información hay sobre ti en la Red.
- Ejerce tus derechos si encuentras algún dato que se está ofreciendo sin tu consentimiento. La Agencia Española de Protección de Datos te proporciona las pautas sobre cómo hacerlo.
- Comparte tu experiencia con amigos y familiares para ayudarles a evitar caer en una trampa similar. También puedes compartir información en redes sociales para concienciar a más personas acerca de los peligros del phishing.
Otras técnicas de engaño relacionadas con el phishing (I)
El smishing es una técnica similar al phishing, pero en lugar de correos electrónicos, los atacantes utilizan mensajes de texto, SMS, para engañar a las personas. Por otro lado, el vishing es una técnica en la que los atacantes utilizan llamadas telefónicas para hacerse pasar por una entidad de confianza y obtener información personal y financiera. Es importante estar informado y ser cauteloso para evitar caer en estos tipos de engaños.
A continuación, te dejamos estos recursos para que puedas aprender más sobre estos fraudes:
El smishing es un término que se utiliza para describir una forma de fraude en la que los delincuentes intentan engañar a las personas para que divulguen información personal o financiera enviándoles mensajes de texto (SMS) que incorporan enlaces fraudulentos.
El vishing es una técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a los usuarios a través de llamadas de teléfono fraudulentas y obtener así información personal sobre ellos, guiarles para que descarguen e instalen programas maliciosos, así como intentar que realicen algún pago bajo algún pretexto.
Otras técnicas de engaño relacionadas con el phishing (II)
Existen otras técnicas fraudulentas utilizadas por los ciberdelincuentes para obtener información confidencial de las víctimas: carding, Browser-in-the-Browser (BitB) y spoofing. Conoce más a fondo en qué consiste cada una de ellas, y así evitarás ser engañado.
¿Alguna vez te ha llegado un email de tu banco pidiéndote por favor que te descargues un archivo o accedas a un enlace? Puede que se trata de un caso de spoofing. Infórmate.
Recursos para aprender más sobre el phishing
Si estas interesado/a en aprender más sobre el phishing, compartimos contigo más recursos que pueden ser de tu interés:
Juega a la ‘Oca antifraudes’, pon a prueba tus conocimientos sobre los fraudes de tipo phishing, smishing y vishing e intenta llegar el primero a la meta sin caer en las trampas de los ciberdelincuentes. ¡Suerte!
Campaña en colaboración de
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).