EL PHISHING: QUÉ ES Y CÓMO EVITARLO
Actualmente es cada vez más difícil imaginarse un mundo sin Internet. Esta red de redes se ha vuelto imprescindible tanto en el día a día de las empresas como en el de los usuarios particulares. Sus beneficios son muchos, pero cuando un usuario entra en la red también ha de ser consciente de los riesgos a los que puede enfrentarse.
Existen numerosos tipos de fraude que se realizan a través de Internet, el phishing es uno de ellos. Se trata de una técnica usada por ciberdelincuentes para obtener información personal y bancaria suplantando a una entidad legítima como puede ser un banco, una red social, una entidad pública, etc.
Los ciberdelincuentes que llevan a cabo el phishing se valen de la ingeniería social, es decir, obtienen la información confidencial a través de la manipulación de usuarios legítimos. Su objetivo es captar la atención y redirigir al usuario a páginas web fraudulentas que simulan ser legítimas para así intentar obtener información privada. Esta técnica puede utilizar cualquier sistema que permita el envío de mensajes. Pueden llegar intentos de robo de información a través de emails, cualquier herramienta de mensajería instantánea como puede ser WhatsApp, cualquier red social o por mensajes SMS.
La clave para evitar caer en este tipo de fraudes es saber identificarlos. Desde la Oficina de Seguridad del Internauta (OSI) proporcionan una serie de pautas que pueden ayudar a reconocer y distinguir las principales características de un mensaje fraudulento.
Mensaje alarmante que pide hacer algo de manera urgente
Por un lado, es importante detectar el tipo y autoría del mensaje. Hay que ser precavido con los emails, SMS o Whatsapps que aparentan ser de entidades bancarias o servicios conocidos con mensajes del tipo: problemas de carácter técnico de la entidad, problemas de seguridad en la cuenta del usuario, recomendaciones de seguridad para evitar fraudes, cambios en la política de seguridad de la entidad, promoción de nuevos productos, vales descuento o inminente cese o desactivación del servicio.
El objetivo del phishing siempre va a ser, intentar asustar al usuario para que actúe según las indicaciones del mensaje. La manera de operar habitual según la OSI es añadir una excusa como por ejemplo “problemas técnicos o de seguridad” y proporcionar una solución sencilla como podría ser “acceda a su banco utilizando este enlace”. En este momento, es cuando pedirán el nombre de usuario, las claves y otros datos de acceso a las cuentas. Una práctica que las entidades legítimas nunca llevarían a cabo.
Además, en muchas de las estafas de phishing se pide realizar una acción de manera urgente, es un período muy corto de tiempo. De esta manera lo que pretenden es que el usuario tome una decisión precipitada y caiga en la trampa.
Redacción con errores gramaticales
Por otro lado, es muy importante fijarse en cómo está redactado el mensaje. Es muy extraño que una entidad legítima cometa faltas de ortografía o de concordancia dentro de sus mensajes, del mismo modo que no suelen utilizar una escritura informal. Tal y como explican en la Oficina de Seguridad del Internauta, los ciberdelincuentes que realizan este tipo de campañas a veces son extranjeros, y tienen que traducir sus mensajes al español. Aquí es cuando se producen los errores gramaticales, y los más frecuentes son: errores semánticos, como por ejemplo el uso de artículos “el” o “la” intercambiados; palabras con símbolos extraños en lugar de acentos, como por ejemplo “DescripciÃ?n, esto sucede cuando se intentan escribir vocales acentuadas en un teclado no español; o frases mal construidas.
Mensaje no personalizado
Cuando un delincuente se propone estafar a miles de personas es prácticamente imposible conocer el nombre de todas ellas. Por este motivo, suelen utilizarse fórmulas como: “Estimado cliente”, “Estimado contribuyente”, “Hola”, “Hola amigo”, etc. Cuando una entidad legítima quiere dirigirse por correo a un cliente siempre va a hacerlo a través de mensajes personalizados en los que incluirá el nombre de la persona e incluso en algunas ocasiones, parte de su DNI.
Enlace sospechoso
Dentro del mensaje siempre habrá un enlace, por lo que si se trata de una estafa, en vez de llevar al usuario al sitio web oficial le redirige a otra web fraudulenta que estéticamente será muy parecida o prácticamente igual a la oficial. Para poder saber la verdadera dirección a la que lleva un enlace lo que debe hacerse es: situar el puntero del ratón encima del enlace y observar la dirección que aparece en la parte inferior izquierda del navegador.
Remitente del mensaje
Por último, es importante también fijarse en quién envía el mensaje. Hay que sospechar si el remitente es una dirección de correo que no pertenece a la entidad. Aunque también hay que tener en cuenta que el remitente de un correo electrónico puede ser manipulado. Los ciberdelincuentes pueden llegar a enviar correos con un remitente falsificado en nombre de entidades.
