El phishing es uno de los ataques en la red más frecuentes. Son campañas muy usadas por los ciberdelincuentes ya que su rentabilidad es alta con poco esfuerzo. El phishing (cuyo término procede del inglés fishing: pesca) básicamente es una estafa basada en la suplantación de identidad: un ciberdelincuente envía una comunicación que parece provenir de una entidad oficial o de una empresa, solicitando los datos de la víctima con algún tipo de excusa. Pero en realidad lo que busca es hacerse con esos datos personales o bancarios y usarlos en su beneficio, bien sea revendiéndolos a otros ciberdelincuentes o usando los datos bancarios para realizar compras.
En definitiva, los ciberdelincuentes tratan de pescar nuestros datos con un cebo. Una supuesta doble facturación, el bloqueo de una cuenta de algún servicio o un paquete que no nos ha llegado son algunas de las excusas de estas estafas para conseguir los datos de las víctimas.
El método más tradicional y usado para hacer llegar esos mensajes fraudulentos es a través del correo electrónico, pero es muy usado también el SMS o incluso canales de mensajería instantánea como WhatsApp. Estos mensajes contienen un enlace que dirige a una web fraudulenta que también está diseñada para parecerse a la original, con lo que el engaño es redondo.
Los ciberdelincuentes crean correos que tienen el aspecto de la entidad a la que suplantan, usando su logotipo y sus colores. Las campañas de phishing están basadas en la cantidad: lanzan este tipo de correos a miles de víctimas, esperando que las leyes de la probabilidad actúen y que caiga más de un incauto.
En algunos casos estos mensajes están muy elaborados, y se han ido sofisticando cada vez más con el tiempo. En otros casos se puede identificar esta estafa siguiendo unos pasos.
- Revisa la dirección de correo electrónico del remitente. ¿Incluye el dominio de la compañía de la que supuestamente proviene? En muchos de los casos de phishing estas direcciones contienen una secuencia de letras y números, o el nombre de la entidad a la que suplantan, pero escrito de forma diferente.
2. El contenido del mensaje no cuadra. Como hemos dicho, este tipo de ataques se han ido sofisticando. Parte de ello ha sido la mejora en el texto del correo, que tradicionalmente incluía muchas faltas de ortografía y gramaticales, debido a que estaban directamente traducidos de otro idioma. Sin embargo, en la mayoría de ellos sigue habiendo muchos pequeños fallos, que se detectan con una lectura tranquila. Por eso el último punto es muy importante.
3. Nunca se solicitan datos bancarios por e-mail o SMS. Esto es un aspecto fundamental. Ni un banco ni una empresa va a solicitar tus datos financieros, de facturación o bancarios a través de un enlace en un correo electrónico. Ante la duda, y antes de enviar este tipo de datos o cualquier otro dato personal, haz una llamada a la empresa en cuestión y verifícalo.
4. Mantén la calma. Este tipo de mensajes tratan de poner nerviosa a la víctima con falsos plazos y urgencias: facturas falsas que deben ser cobradas en un corto espacio de tiempo, paquetes de mensajería que deben ser recogidos… No te dejes llevar por las prisas.
Estos son los primeros pasos que se deben dar, aunque no los únicos, sobre todo en los casos más sofisticados. En ocasiones estos mensajes de phishing no son masivos, si no que están personalizados, y llegan a darse también en empresas (grandes y pequeñas), provocando incluso variantes como es el caso del fraude del CEO, que puede llegar a hacer perder mucho dinero a una compañía.
