Historias reales: fórmate en ciberseguridad y evita ser víctima de correos fraudulentos
Hoy queremos compartir la historia real de Irene, autónoma y propietaria de una tienda de ultramarinos en una pequeña localidad del norte de España. Aunque consternada y algo alterada por lo excepcional de la situación y cumpliendo lo establecido en el estado de alarma, Irene abría todos los días su comercio para seguir abasteciendo a sus clientes, eso sí, cumpliendo a rajatabla las normas de distanciamiento e higiene que exigían las circunstancias.
Como cada mañana a primera hora Irene revisaba en su correo, que últimamente estaba muy saturado, los pedidos, pagos a proveedores, en resumen, todo lo necesario para la buena marcha del negocio. Mientras realizaba todas estas tareas administrativas, con mucha diligencia y algo de prisa, pues no tenía tiempo que perder, recibió un correo electrónico inesperado. Se trataba del Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS) y le comunicaban que su empresa estaba siendo investigada por la incapacidad de la misma para respetar la legislación vigente. ¡No salía de su asombro!
¿Cómo podía ser? Irene estaba segura de poder abrir su negocio ya que vendía productos de primera necesidad y respetaba todas las normas para garantizar su seguridad y la de sus clientes. ¿Qué podía haber hecho mal como para infringir la ley? ¡Lo que le faltaba!
Preocupada e intrigada por llegar al fondo del asunto, volvió a leer con detenimiento el mensaje, igual que el que mostramos a continuación:
Aparentemente era un correo legítimo, estaba bien escrito, no como otros que había recibido. Sin embargo el remitente le hizo dudar, por un lado el dominio parecía legítimo pero el nombre de usuario contenía demasiados dígitos.
Irene estuvo tentada de hacer clic en el enlace “Haga clic aquí para ver la queja presentada y obtener más detalles”, pero se lo pensó dos veces. Si accedía al enlace quizás todo se aclarara de manera rápida, pero, ¿y si se trataba de un correo fraudulento?
Afortunadamente Irene estaba suscrita a los boletines de Protege tu empresa y desde que empezó el estado de alarma había recibido en su correo varios avisos sobre suplantaciones al Servicio Público de Empleo Estatal (SEPE), a la Oficina Española de Patentes y Marcas, O.A. (OEPM) así como a ciertas entidades bancarias. Gracias a estos avisos Irene sabía que los ciberdelincuentes estaban aprovechando la situación excepcional que el COVID-19 había generado para suplantar organismos gubernamentales y entidades bancarias con el fin de recabar datos de acceso de usuarios o de infectar los equipos de estos con malware.
A pesar de tener un pequeño comercio, Irene sabía de la importancia de la concienciación en ciberseguridad y que ser una empresa pequeña no la eximía de recibir ciberataques. Además de estar suscrita al boletín de avisos, leía las publicaciones del blog y conocía las herramientas para disponer de un negocio más seguro. Su concienciación en ciberseguridad le hacía ser cautelosa y recordó nuestro consejo sobre las URL que nos llegan en correos electrónicos:
- Antes de hacer clic en ningún enlace revisaremos la URL, es decir la expresión que se abriría en la barra del navegador al hacer clic (del tipo http://www.paginadelproveedor.es/...). Para ello nos situamos sobre el texto del enlace, generalmente resaltado en azul y subrayado, y el cliente de correo nos mostrará la URL real, que puede ser distinta a la que en un principio visualizamos. Otras veces están ocultas bajo textos como “Haga clic aquí para…”. Si la URL no pertenece a la empresa o entidad real que supuestamente nos envía el mensaje, en este caso la ITSS, nunca debemos hacer clic en el enlace. Esto lo podremos comprobar sin hacer clic en el enlace, haciendo una búsqueda en el navegador o verificándolo por teléfono o con un mensaje legítimo anterior.
- Aun así los enlaces que parecen legítimos pueden por ejemplo tener caracteres de más o de menos y pasarnos desapercibidos, o podrían contener caracteres homógrafos, es decir caracteres que se parecen en determinadas tipografías (1 y l, O y 0). Este método es conocido como cybersquatting.
Al colocar el ratón sobre el texto “Haga clic aquí para ver la queja presentada y obtener más detalles”, nuestra protagonista comprobó que la URL mostrada ni siquiera se parecía a la URL legítima del Ministerio de Trabajo. Estaba en lo cierto, ahora estaba segura de que el correo era fraudulento y a la vez orgullosa de haber puesto en práctica sus conocimientos en ciberseguridad con éxito.
Como quería evitar que otros comercios se vieran afectados por el engaño, decidió reportarlo a INCIBE llamando al 017, la Línea de Ayuda en Ciberseguridad.
Si como esta empresaria tú también quieres estar al día de toda la actualidad en materia de seguridad puedes suscribirte a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Bajo la etiqueta #ciberCOVID19 encontrarás contenido específico para mantener la seguridad de tu empresa durante esta situación excepcional.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.