“Tu cuenta corriente ha sido bloqueada”. “Hemos detectado movimientos inusuales en tu app”. “Actualmente no puedes usar tu tarjeta, tienes que activar el nuevo sistema de seguridad”. ¿Quién no ha recibido alguna vez un SMS de su banco con algún mensaje similar?
La realidad es que por muy alarmista que sea el mensaje, seguramente ni la cuenta, ni la app ni la tarjeta tengan ningún problema… a menos que el usuario siga las instrucciones del mensaje.
Este es uno de los trucos que usan los ciberdelincuentes para robarle el dinero a sus víctimas: “enviarle un mensaje preocupante haciéndose pasar por su banco para que comparta sus datos”, explica Javier Mezcua de HelpMyCash.com. “Si alguna vez recibes un SMS o un e-mail como los anteriores, no caigas en la trampa, es un ataque de phishing”, añade.
Pero ¿cómo funciona exactamente este timo y qué trucos hay para evitar el phishing y no caer en la trampa?
¿Cómo funciona el ‘phishing’?
El phishing consiste en suplantar la identidad de una empresa para que sus víctimas compartan su información personal como su número de tarjeta o sus claves de la banca online. El objetivo es robar el dinero de la víctima. Y esta técnica está a la orden del día.
Para algunos, este clásico timo puede parecer demasiado obvio. Muchos usuarios están tan acostumbrados a recibir SMS o e-mails fraudulentos que ya no les cuesta detectarlos. Entonces ¿por qué siguen usando este método? Porque seguimos picando. E incluso los consumidores más curtidos pueden acabar cayendo en la trampa. El año pasado, el Observatorio Español de Delitos Informáticos registró 267.011 fraudes informáticos, entre los que se incluyen estafas bancarias y estafas con tarjetas.
Solo este mes, la Oficina de Seguridad del Internauta ya ha alertado de nueve campañas de phishing activas. Los bancos afectados son Banco Santander, CaixaBank, Unicaja, Bankinter, Openbank, Ibercaja, BBVA, Abanca y Kutxabank.
Mensajes falsos de Correos, Hacienda…
Pero no solo las entidades bancarias corren el peligro de ser víctimas de un ataque. Los ciberdelincuentes usan SMS y correos electrónicos cada vez más sofisticados para suplantar la identidad de plataformas de streaming, de empresas de mensajería como Correos o incluso de instituciones como la Agencia Tributaria.
Muchos consumidores probablemente hayan recibido alguna vez un SMS o un e-mail de Correos para que paguen las tasas de aduanas por un supuesto paquete que deben recibir. Es falso.
Mediante estos mensajes, los ciberdelincuentes buscan engañar a sus víctimas para que hagan clic sobre un enlace que apunta a una página web fraudulenta que simula ser la de la compañía legítima para que proporcionen sus datos personales o hagan algún pago. No hay que pinchar en esos enlaces.
“Los consumidores deben interiorizar que su banco nunca les pedirá sus claves a través de un enlace recibido por SMS o e-mail”, explican desde HelpMyCash.
Estas páginas fraudulentas están hechas para que la víctima crea que realmente está en la web de su banco, de la Administración, etc. Usan sus logos y copian los textos de la web original para confundirla y que acabe dando sus datos.
Pero los ciberdelincuentes siempre dejan pistas que pueden ayudar a detectar que se trata de una estafa.
Trucos para detectar un ataque de ‘phishing’
Si el SMS o el e-mail están lleno de faltas de ortografía o parece traducido de otro idioma, seguramente sea falso.
Si el remitente es desconocido o usa dominios gratuitos como Gmail o Hotmail, conviene sospechar. Los bancos y las grandes empresas suelen usar sus propios dominios. Por ejemplo, si un cliente recibe un e-mail de su banco, el dominio incluirá su nombre. En el caso de los SMS, es más complicado, porque a veces los ciberdelincuentes son capaces de colar sus mensajes fraudulentos dentro del hilo de mensajes de texto real de la empresa a la que suplantan.
Si el mensaje invita a llevar a cabo alguna acción con urgencia como, por ejemplo, actualizar los datos personales o compartir información sensible y usa un tono alarmista, cuidado.
Antes de hacer clic sobre un enlace, se debe comprobar a dónde apunta. “Los malhechores suelen despistar usando direcciones muy similares a las de las web originales en las que solo varía el orden de las palabras o alguna letra”, apunta Mezcua de HelpMyCash.
No todos los ataques de phishing llegan por correo. La red está llena de páginas que suplantan las web de las entidades bancarias y a las que podemos llegar sin darnos cuenta. De hecho, si escribimos en un buscador el nombre de alguna entidad financiera, es probable que nos aparezcan en las primeras posiciones algunas webs fraudulentas. Por eso, a la hora de ingresar en una página, es muy importante comprobar que la URL es la correcta y no es una copia de la original.
Asimismo, si la web parece estar hecha a medias, si muchos enlaces no funcionan o si, pinchemos donde pinchemos, siempre acabamos en un formulario para introducir nuestros datos, probablemente estemos ante un ataque de phishing.
Me interesa
- Tipos de phishing: cómo reconocerlos y mantenerte a salvo
- ¿Qué es el Spear Phishing?
- ¿Te llega para un café? Entonces, puedes comprar un kit de phishing
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- Los emails phishing más difíciles de detectar para los empleados
