¿Sabrías identificar siempre un ataque de ‘phishing’? Las estadísticas dicen que no
¿Has recibido un e-mail de tu banco para que actualices tus datos personales por motivos de seguridad? Ten cuidado, probablemente sea un caso de phishing y estén intentando vaciarte la cuenta. Los clientes de Bankia, BBVA, Caja Rural e ING ya han sufrido ataques de este tipo en 2019, de acuerdo con el Observatorio de Seguridad del Internauta. Los bancos españoles han avisado en multitud de ocasiones de que nunca solicitan por e-mail o SMS a sus clientes datos como el pin de sus tarjetas o sus claves de acceso para operar por la banca a distancia. Pero ¿realmente hemos aprendido a distinguir los ataques de phishing? La mayoría creemos que sí, pero la realidad dice lo contrario.
Así funcionan los ataques de ‘phishing’
En 2018, el Observatorio Español de Delitos Informáticos registró 88.760 fraudes informáticos, entre los que se encuentran las estafas bancarias y los fraudes asociados a tarjetas de crédito y débito. Los datos de Kaspersky Lab, relativos a 2018, revelan que el 20% de los internautas españoles sufrió ataques de phishing, lo que nos convirtió en el octavo país del ranking mundial con más afectados por esta práctica.
La mayoría de los ataques de phishing bancario siguen siempre un mismo patrón: las víctimas reciben un correo electrónico en el que se les insta a actualizar sus datos, normalmente alegando motivos de seguridad o legales, y advirtiéndoles de que, en caso de no hacerlo, se limitará su operativa o, incluso, se bloquearán sus cuentas. Las comunicaciones siempre llevan un enlace que redirige a una página web que simula ser la del banco. El objetivo es que la víctima introduzca su nombre de usuario y clave de acceso para acceder a la banca online, así como otros datos como su número de móvil, la información de su tarjeta o su clave de firma. Información suficiente para vaciar sus tarjetas o sus cuentas.
Ataques de phishing recibidos por correo electrónico. Fuente: Oficina de Seguridad del Internauta (Osi.es).
Exceso de confianza
La mayoría creemos poder distinguir un correo electrónico fraudulento de uno real, sin embargo, seguimos cayendo en la trampa. ¿Por qué? La respuesta está en que confiamos demasiado en nuestras capacidades para poder detectar ataques de phishing.
«Casi cuatro de cada cinco trabajadores de oficina (79%) piensa que puede distinguir un mensaje de phishing de uno real»; sin embargo, solo el 60% sabe que los ataques pueden proceder de las redes sociales y únicamente el 59% considera los SMS como un canal de distribución de este tipo de acciones fraudulentas, según un informe elaborado por Webroot en el que han participado 4.000 oficinistas de Australia, Estados Unidos, Japón y el Reino Unido.
Si bien es cierto que la mayoría de los encuestados, el 81%, sabía que los correos electrónicos son uno de los medios usados por los atacantes para llegar a sus víctimas, el tanto por ciento descendía cuando se trataba de identificar otros canales, algunos de ellos cada vez más comunes como los mensajes de texto.
También podemos ser víctimas de una estafa a través de llamadas telefónicas, notificaciones de aplicaciones, correo postal y videochats, a pesar de que menos de la mitad de los participantes en el estudio lo saben. En el caso de los chats, solo el 22% de los encuestados los identificó como un medio de distribución de ataques de phishing.
¿Cómo identificar un ataque de ‘phishing’?
Hay muchas señales que nos pueden indicar que estamos siendo víctimas de un ataque de phishing.
El remitente
Si recibimos un mensaje de un remitente desconocido que nos invita a pinchar sobre un link, es probable que sea un ataque de phishing. Asimismo, si el emisor es aparentemente una institución conocida, como un banco, debemos verificar que la fuente (dirección de correo electrónico, número de teléfono, perfil de redes sociales, etc.) realmente sea la oficial y no una falsificación. Debemos tener en cuenta que los bancos siempre envían sus comunicaciones a través de dominios corporativos y nunca mediante cuentas de correo gratuitas como gmail.com o hotmail.com.
El tono del mensaje
Si la comunicación es inesperada, alarmista o nos promete premios de supuestos sorteos en los que no hemos participado, probablemente estemos ante un caso de phishing. Si tenemos dudas de la veracidad del mensaje, podemos contactar con el supuesto emisor para que nos confirme si se trata de una comunicación genuina o falsa.
La ortografía
Los servicios de atención al cliente de las grandes empresas suelen cuidar la ortografía de sus mensajes. Si recibimos un e-mail o un mensaje de texto plagado de faltas, errores sintácticos o, directamente, el contenido parece una traducción mal hecha, es phishing.
El diseño gráfico
Los bancos y el resto de las instituciones tienen un diseño corporativo que respetan en todas sus comunicaciones (encabezados, pies de página, colores, logotipos…). Aunque son fáciles de imitar y en ocasiones los ataques de phishing suplantan casi a la perfección la imagen corporativa del emisor, no está de más que nos fijemos en este detalle.
El enlace
Pinchar sobre un enlace malicioso es el primer paso para acabar siendo víctimas de una estafa. Antes de hacer clic sobre cualquier link, debemos comprobar que redirige a la página web oficial del emisor y no una que simula ser la real. Para ello, antes de pinchar podemos situar el cursor del ratón encima del enlace y verificar a qué URL apunta. Pero, cuidado, porque en muchos casos la diferencia entre la URL oficial y la falsa es muy discreta y difícil de detectar a simple vista. Si llegamos a pinchar, lo más probable es que acabemos en una web casi idéntica a la original. Antes de llevar a cabo cualquier acción, debemos verificar, una vez más, que se trata de la web original y que está 100% operativa (muchas webs de phishing son aparentemente idénticas a las originales, pero si empezamos a navegar por ellas, nos daremos cuenta de que muchos botones no funcionan o de que hay secciones vacías).
El objetivo del mensaje
Si el objetivo de la comunicación es que demos nuestros datos personales (número de cuenta bancaria, teléfono móvil, NIF, claves de acceso a la banca a distancia, posiciones de la tarjeta de coordenadas, claves de firma, numeración y CVV de nuestras tarjetas, etc.), es phishing. No olvidemos que los bancos nunca nos solicitarán todos estos datos de golpe. Asimismo, si la comunicación nos invita a efectuar un pago inesperado con cualquier excusa, probablemente también sea una estafa.
*Datos extraídos del estudio Hook, line and sinker. Why phishing attacks work de Webroot.
Más sobre Seguridad de las tarjetas
Autor: Javier Mezcua
Sobre HelpMyCash:
HelpMyCash es uno de los comparadores de finanzas personales más importantes de España, en el que confían medios como La Vanguardia.com, Finanzas.com o ElMundo.es.
Te ayudamos a elegir la cuenta con menos comisiones, el préstamo o hipoteca con el interés más bajo, el depósito más rentable o la inmobiliaria para vender tu piso. Proporcionamos trucos, consejos y herramientas de cálculo, todo completamente gratis.
Nuestra información es imparcial, sencilla y constantemente actualizada, para que lo sepas todo antes que nadie en el menor tiempo posible. En finanzas… ¡información es poder!
Rafael Romate Cano
!jo! fenomenal. Yo jubilado, 78, soltero y vivo solo, pero esas cosas las miro mucho. Cualquier petición voy a la oficina a cerciorarme. El ordenador, bien, pero con respaldo de la oficina. Gracias y salud