Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Conoce a fondo qué es el phishing

imagen decorativa de la sección Protégete - Phishing

¿Sabías que el phishing es una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios? Les envían mensajes suplantando a una entidad legítima como puede ser un banco, una red social, un servicio, una entidad pública, etc. para engañarles y manipularles a fin de que acaben realizando alguna acción que ponga en peligro sus datos.

 

Trucos para evitar ser víctima de phishing:

  • Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o  extraños.
  • Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
  • Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
  • Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta directamente si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.
  • Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que ésta corresponda con la URL del servicio legítimo.
  • Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
  • Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

En esta página encontrarás:

También te puede interesar:

 

 

Carlos

HISTORIETA: "El día que Berto estuvo a punto de morder el anzuelo"

Aquel sábado, Carlos había quedado con sus amigos. Bajó hasta el comedor donde estaba su padre, Berto, para pedirle un poco de dinero, pero lo que vio le dejó de piedra: ¡su padre estaba siendo engañado por un correo falso!

Comencemos por el principio. Berto estaba revisando su correo electrónico. En ese momento le llegó un correo de su banco, el Banco Martín, en el que le comunicaban que “habían incorporado a sus sistemas un servicio antifraude que eliminaría la posibilidad de accesos fraudulentos a su cuenta”.  También le especificaban que debería activar ese servicio antes de 48 horas o su cuenta quedaría bloqueada.

A primera vista le pareció perfecto, ya que todo sistema que aumentara la seguridad de su cuenta era bienvenido. Además, desde la entidad habían sido muy considerados y facilitaban un enlace para que de forma sencilla pudiera activar dicha funcionalidad. Pero al pulsar en el enlace, se llegaba a una página web en la que le solicitaban datos tales como la clave de seguridad, tarjeta de coordenadas (primeros 24 números), datos personales, número de tarjeta, fecha de vencimiento, csc, pin, usuario, clave y firma electrónica, todos datos de carácter confidencial y necesarios para realizar operaciones con la cuenta.

Fue en ese momento cuando llegó Carlos, ¡y menos mal que llegó!, ya que su padre se encontraba cumplimentando dichos campos. Berto no se había dado cuenta que se encontraba en una web fraudulenta y que si hubiera pulsado el botón completar, sus datos bancarios hubieran llegado a manos de ciberdelincuentes, que podrían haber operado con su cuenta bancaria.

Carlos instó a su padre a que siguiera una serie de trucos a fin de poder detectar si un correo es legítimo o se trata de un intento de phishing.

 

 

Cómo reconocer un mensaje de tipo phishing

  1. ¿El contenido es sospechoso?

El primer paso para identificar un phishing es valorar el contenido del mensaje o correo electrónico. Como hemos mencionado anteriormente, el intento de suplantación puede ser a un banco, una plataforma de pago, una red social, un servicio público, etc.

Email phishing Gmail

El objetivo es intentar asustar al usuario e instarle a actuar según las indicaciones del mensaje. Siempre añaden una excusa, ejemplo “problemas técnicos o de seguridad”, y proporcionan una solución sencilla del tipo “acceda a su banco utilizando este enlace”. Además, es muy habitual que soliciten nombre de usuario, claves y otros datos de acceso a las cuentas, práctica que las entidades legítimas nunca llevarían a cabo.

  1. ¿La escritura es correcta?

Si nos fijamos en la imagen anterior, podemos ver que, por ejemplo, no se han utilizado tildes y que hay errores gramaticales (enes en lugar de eñes), y de puntuación. Resulta extraño que una entidad envíe una comunicación a todos sus clientes con una redacción y ortografía descuidadas.

Los delincuentes que realizan las campañas de estafa, en ocasiones son extranjeros, y deben por tanto traducir sus mensajes al español, en general con errores. Estos errores en la traducción aparecen en forma de:

  • Fallos semánticos: artículos “el” o “la” intercambiados.
  • Palabras con símbolos extraños: donde deberían estar palabras acentuadas como por ejemplo: “DescripciÃ?n”. Este caso aparece al intentar escribir vocales acentuadas en un teclado no español.
  • Frases mal construidas.

Si detectamos que el correo tiene una ortografía pobre y su escritura es informal, debemos estar alerta.

  1. ¿A quién va dirigido el correo?

Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado saber el nombre de todas esas personas. Por ello, utilizan fórmulas genéricas como “Estimado cliente”, “Hola”, “Hola amigo”, etc. para evitar decir un nombre:

>Email phishing Agencia Tributaria

Cuando una entidad tiene que dirigirse por correo a un usuario o cliente, siempre lo hará enviando correos electrónicos personalizados, donde utilizará el nombre de la persona e incluso en algunas ocasiones, parte de su DNI. Si recibimos un correo no personalizado, estamos probablemente ante un caso de intento de estafa.

  1. ¿Pide hacer algo de manera urgente?

Otra técnica utilizada por los delincuentes es la de pedir la realización de una acción en un período de tiempo muy corto: “Una vez emitido este correo electrónico, tendrá un plazo de 8 horas para llevar a cabo dicha acción, de lo contrario…”:

Email phishing La Caixa

Con esta urgencia, los delincuentes intentan que su víctima tome una decisión precipitada y caiga en la trampa, que incluye visitar un enlace e indicar datos personales y/o contraseñas. Este es otro síntoma que nos hace sospechar que el mensaje recibido ha sido enviado por un delincuente.

  1. ¿El enlace es fiable?

La intención de los delincuentes es que pinchemos en un enlace para llevarnos a un sitio web fraudulento. En el texto del mensaje hay un enlace que en lugar de llevarte a la web oficial, página legítima, te lleva a otra fraudulenta que estéticamente es igual o muy parecida.

¿Cómo podemos saber la verdadera dirección a la que apunta un enlace? Muy fácil: situando el puntero encima del enlace y observando la verdadera dirección que se muestra en la parte inferior izquierda del navegador.

Email phishing Apple

Una recomendación a seguir es la de no acceder a una web a través de un enlace en el correo electrónico. Si deseamos acceder a la web legítima, la mejor práctica es escribir directamente en la barra de direcciones del navegador la dirección deseada (si se conoce previamente).

  1. ¿Quién envía el correo?

Por último, sólo nos queda comprobar la identidad del remitente. Hemos dejado esta pregunta para el final ya que no ofrece garantías para saber a ciencia cierta si un correo es fiable o no.

Debemos sospechar si el remitente es una dirección de correo que no pertenece a la entidad, como sucede en el siguiente ejemplo, que el mensaje hace referencia a PayPal y el email del remitente no hace ninguna alusión a dicho servicio.

Email phishing PayPal

 

 

El hecho de que el correo provenga de un correo aparentemente correcto no es indicio concluyente de la legitimidad del mismo. El remitente de un correo electrónico puede ser manipulado y los delincuentes son capaces de enviar correos con el remitente falsificado en nombre de entidades.

Medios usados para propagar phishing

El principal medio de propagación del phishing es el correo electrónico, pero que sea el método más utilizado no implica que sea el único. También pueden utilizarse otros medios como redes sociales, sistemas de mensajería instantánea, etc. Por cualquiera de estas vías es muy sencillo enviar un mensaje que contenga un enlace que nos redirija a un sitio fraudulento.

SMS phishing Agencia Tributaria

 

 

Cómo actuar si detectas un phishing

  1. No facilites la información que te solicitan ni contestes en ningún caso a estos mensajes. En caso de duda consulta directamente a la empresa o servicio que supuestamente representan a través de sus canales oficiales. También puedes ponerte en contacto con nosotros, la OSI, y hacernos llegar tu consulta.
  2. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto que puede contener, podría tratarse de malware.
  3. Elimínalo y si puedes, alerta a tus contactos sobre este fraude para que ellos no caigan tampoco en la trampa.

 

 

Qué hacer si has caído en la trampa

En caso de haber sido víctima de un fraude de tipo phishing, recopila toda la información que te sea posible: correos, capturas de conversaciones mediante mensajería electrónica, documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de evidencias.

Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo sucedido con tu cuenta online. Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilizases la misma clave de acceso que para el servicio de banca online. Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de forma segura las contraseñas para evitar problemas.

A continuación, presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Si quieres conocer más detalles, visita nuestra sección Reporte de Fraude o contacta con nosotros para saber cómo actuar.