Consejos para detectar el «phishing» y otros fraudes cibernéticos

De la mano de la digitalización y los rápidos avances tecnológicos, la ciberseguridad ha pasado a ser uno de los grandes desafíos a los que nos enfrentamos, tanto las empresas como la sociedad en general, en nuestro día a día.
Las técnicas de suplantación de identidad en el ámbito digital, también conocidas como «phishing«, son muy variadas, así como sus objetivos: obtener datos e información sensible, extorsionar a una persona o entidad, así como conseguir beneficios económicos.
Es un hecho que los ataques de suplantación de identidad, especialmente en aplicaciones de mensajería instantánea con un importante número de usuarios y correo electrónico, están a la orden del día. Por este motivo la prevención y la concienciación son nuestras mejores armas y es necesario tener en cuenta algunas recomendaciones básicas para saber actuar con precaución ante este tipo de situaciones:
  • Permanece alerta con todo lo que recibas a través de aplicaciones de mensajería instantánea, especialmente cuando la persona que intenta conectar contigo es desconocida.
  • Trata de identificar correos electrónicos sospechosos, especialmente cuando desconozcas el remitente, pero también si lo conoces pero identificas algún cambio en el mismo. Fíjate bien en su nombre de usuario, en su foto, en su manera de comunicarse contigo, e incluso comprueba que la dirección de email con la que te escribe es correcta y habitual.
  • No te fíes de ningún tipo de contacto que te solicite información relevante, privada o confidencial con urgencia.
  • Ante la más mínima duda, nunca facilites información confidencial mediante ninguna vía.  Tampoco facilites datos personales o comprometidos como DNI, tarjeta de crédito, dirección, etc.
  • Presta atención al mensaje que recibas: comprueba que la redacción es correcta, que no existen frases sin sentido o mal construidas, palabras con símbolos extraños ni errores ortográficos o gramaticales. Si los detectas, desconfía.
  • Si recibes correos electrónicos o SMS sospechosos que contengan enlaces, nunca pinches sobre ellos. Tampoco descargues imágenes ni documentos adjuntos.
  • Mantén actualizados tus dispositivos con antivirus y antispam.
  • Antes de introducir información importante en una página o aplicación asegúrate de que es segura.
  • Si crees que has sido víctima de un intento de phishing informa inmediatamente a la persona suplantada y a las autoridades competentes.

 

¿Cuáles son los indicadores clave que pueden ayudar a identificar un intento de phishing en correos electrónicos, mensajes de texto y enlaces web?
Lo primero que tenemos que valorar es la “sorpresa” es decir, es un email cuyo contenido nos sorprende, lo cual es una señal de que tenemos que afinar nuestra atención. Posteriormente, tenemos que asegurarnos de que el correo electrónico pertenece al remitente y no es una suplantación falsa. Si no estamos seguros, lo mejor es ponernos en contacto con la empresa que mandó el email o su servicio de atención al cliente en su sitio web. Si damos el correo como bueno pero es una comunicación atípica, siempre buscaremos más información antes de ejecutar ninguna acción al respecto.

También es importante leer el texto, fechas y contenido para detectar incongruencias o falsificaciones. Si además, el correo incluye documentos adjuntos y no estás seguro del remitente, no lo abras ni hagas clic en ningún enlace.

En resumen: ¿el mail tiene sentido de “urgencia”? ¿la cuenta de correo parece sospechosa o una suplantación? ¿el nombre corresponde al remitente? ¿es una comunicación atípica o poco habitual? ¿el contenido nos alarma o tiene incongruencias? ¿direcciones url que no coinciden?

Ante cualquier sospecha de fraude, la mejor opción es ponerse en contacto con el INCIBE (Instituto Nacional de Ciberseguridad) para denunciarlo a través de su Centro de Respuesta a Incidentes de Seguridad. La colaboración ciudadana es fundamental a la hora de interceptar a tiempo casos de fraude y localizar así lugares desde donde se publican páginas fraudulentas, se emiten mensajes maliciosos y se almacenan datos robados de usuarios.

¿Cuáles son las tácticas más comunes utilizadas por los ciberdelincuentes?

El phishing es una de las primeras estafas que surgieron en la Red y a día de hoy su evolución ha ido a pasos agigantados. La Ingeniería Social, es decir, el arte del engaño, es realmente creativo por parte de los cibercriminales lo que lo convierte en un reto incluso para un experto en ciberseguridad.

Algunas de las tácticas de este tipo de fraude más utilizadas son el deceptive phishing, en el que los ciberdelincuentes se hacen pasar por una empresa, servicios gubernamentales o asociaciones para engañar a las víctimas. Suelen contener un llamado a la acción: normalmente es algo que hace reaccionar al objetivo, ya sea por miedo o por cierto sentido de urgencia.

Otra modalidad frecuente es el vishing, que es lo mismo que el phishing pero cambiando el email por una llamada de teléfono, que es el vector de entrada en este caso, o el smishing, en el que los cibercriminales intentan engañar masivamente a las víctimas a través de un enlace, foto u otro elemento malicioso en un SMS.
Por otro lado, el QRishing, también conocido como quishing, es un tipo de estafa cibernética cuya utilización se ha extendido los últimos años, especialmente tras la pandemia de la COVID-19, cuando todo tipo de organizaciones (especialmente del ámbito hostelero y sanitario) comenzaron a utilizar códigos QR en sus instalaciones como medida de higiene. El término QRishing nace de la unificación de los términos ‘QR’ y ‘phishing y consiste en el diseño de códigos QR falsos que redirigen a sitios web fraudulentos. Por lo general, solicitan información sensible al usuario, que después es utilizada por los ciberdelincuentes para realizar otros ciberataques, conducen a la instalación de aplicaciones móviles con malware o permiten cometer fraude bancario, entre otras posibilidades.
¿Quieres recibir nuestra newsletter? Suscríbete aquí.
Compartir