¿Qué es el phishing?
Quizá este término te suene a chino, pero lo más importante que tienes que saber sobre el phishing es que es sinónimo de estafa. Un timo sencillo, pero muy efectivo que los ciberdelincuentes usan constantemente para intentar robarle el dinero a sus víctimas. Pero ¿qué es el phishing?
El phishing consiste en hacerse pasar por una empresa legítima como, por ejemplo, un banco, una plataforma de contenidos audiovisuales, una empresa de mensajería o, incluso, un organismo gubernamental para engañarte y conseguir que compartas tus datos personales como tus claves de acceso a la banca online o los números de tu tarjeta o que descargues un programa malicioso. El objetivo final siempre es el mismo: robarte tu dinero.
¿Y cómo lo hacen? La verdad es que la trampa no tiene mucho misterio. Los ciberdelincuentes intentan engañarte utilizando el nombre de tu banco en sus e-mails o mensajes de texto y creando copias de sus webs o apps. Te envían un SMS o un e-mail suplantando la identidad de una empresa con un enlace que te dirige a una web fraudulenta. Luego, todo está preparado para que acabes compartiendo tus datos.
A continuación, puedes ver varios SMS fraudulentos reales:
Si alguna vez recibes un SMS similar a los anteriores, bórralo y no pinches en el enlace. Es un ataque de phishing. Recuerda que tu banco nunca te pedirá tus claves personales ni los números de tu tarjeta por SMS o e-mail.
Así intentan robarte tu dinero
Para no caer en las garras de los ciberdelincuentes, debes conocer cómo funciona el phishing. La estafa es sencilla.
-
Los ciberdelincuentes eligen qué empresa van a suplantar.
-
Envían un SMS o un e-mail a sus víctimas suplantando la identidad de la empresa. Pueden, incluso, usar su logo y su imagen corporativa para que el engaño parezca más real.
-
La víctima recibe el mensaje, que suele ser alarmista. Pueden usar mensajes como tu cuenta ha sido bloqueada, ya no puedes usar tu tarjeta o alguien ha hecho pagos no autorizados con tu tarjeta para que hagas clic en un enlace.
-
El enlace lleva a una web casi idéntica a la página original de la empresa, pero que, en realidad, es una copia.
-
En la web, hay un formulario para que el usuario introduzca sus datos. El objetivo final es que la víctima acabe compartiendo sus datos personales para secuestrarle su cuenta o hacer compras con su tarjeta.
Phishing, smishing y vishing
Los ataques más habituales se hacen mediante mensajes de texto (smishing) o e-mails (phishing), pero los ciberdelincuentes también usan la técnica del vishing para intentar timarte. ¿En qué consiste?
Alguien te llama por teléfono y simula que trabaja para tu banco o para una empresa conocida. Te explica que tu cuenta tiene una incidencia o que tienes un paquete retenido. El objetivo es el mismo que con el phishing o el smishing: conseguir tus datos.
Los ciberdelincuentes no solo suplantan a bancos
Para algunos consumidores, los ataques de phishing se han convertido en algo tan habitual que ya no les cuesta ningún esfuerzo detectarlos. A veces, incluso, los ciberdelincuentes envían ataques de phishing suplantando la identidad de un banco del que ni siquiera somos clientes. Sin embargo, por muy habituales que sean estas estafas, muchos consumidores siguen cayendo en la trampa. Por eso no hay que relajarse.
En 2021 hubo en España 267.011 fraudes informáticos, entre los que se incluyen estafas bancarias y estafas con tarjetas, según los datos del Observatorio Español de Delitos Informáticos.
Los ataques de phishing son cada vez más sofisticados y más variados. Los ciberdelincuentes no solo intentan suplantar la identidad de los bancos para intentar engañar a sus clientes, sino también la de empresas de mensajería como SEUR o Correos, la de instituciones estatales como la Agencia Tributaria o la de compañías de streaming.
Quizá alguna vez hayas recibido un SMS como este (es real):
Es un ataque de phishing clásico. Recibes un SMS firmado por Correos que te indica que tienes que pagar unas tasas de aduanas para recibir un paquete. El pago lo puedes hacer haciendo clic en el enlace que acompaña al SMS. Pero la realidad es que ni es Correos el que te está escribiendo ni te va a llegar ningún paquete. Es un timo. Detrás hay un ciberdelincuente que quiere robarte unos euros.
Otro ataque que se ha puesto de moda es suplantar a Bizum. Recibes un SMS supuestamente de Bizum para que pinches en un enlace para aceptar un Bizum. Es mentira. Si en algún momento alguien te envía dinero por Bizum, el dinero te llegará automáticamente a tu cuenta sin necesidad de que aceptes nada.
Ten siempre una segunda cuenta
Si sufres un ataque de phishing, es posible que tengas que bloquear tu tarjeta o, incluso, que el banco te bloquee tu cuenta. En ese caso, no podrás pagar compras con tarjeta ni usar tu dinero. Por eso, en HelpMyCash te recomendamos que tengas al menos una segunda cuenta abierta para poder operar mientras tu cuenta principal está bloqueada. Puedes abrir una cuenta sin comisiones y sin condiciones totalmente gratis.
¿Cómo evitar el phishing?
Los ataques de phishing no son perfectos y hay una serie de trucos que puedes usar para detectarlos. Vamos a usar como ejemplo este e-mail que hemos recibido en el que se hacen pasar por Kutxabank.
1- Revisa el remitente del mensaje
Comprueba quién es el remitente del SMS o del e-mail. En el caso de los correos electrónico, verifica que la dirección desde la que te están escribiendo incluye el nombre del remitente.
Por ejemplo, si recibes un e-mail de Banco Sabadell, la dirección de correo electrónico terminará por @bansabadell.com y si recibes uno de Abanca, por @abanca.com. En caso contrario, sospecha. Y si el e-mail te lo están enviando desde un gestor gratuito como Gmail o Hotmail, sospecha también.
Por ejemplo, en este e-mail, el remitente, que hemos difuminado por seguridad, no tiene nada que ver con el banco al que están intentando suplantar:
En el caso de los SMS, comprobar el remitente puede ser más difícil, porque últimamente los ciberdelincuentes están consiguiendo colar sus mensajes fraudulentos dentro de los hilos de mensajes reales de la empresa cuya identidad están suplantando.
Si has recibido un SMS o un e-mail y no sabes si es real, antes de pinchar en ningún enlace ponte en contacto con la empresa que supuestamente te lo está enviando para que te diga si es una comunicación legítima o un intento de phishing.
2- Comprueba la ortografía del mensaje
La mayoría de los ataques de phishing tiene un denominador común: están mal escritos. Los SMS y los correos electrónicos fraudulentos suelen contener faltas de ortografía y errores gramaticales. A veces, incluso, parece que un traductor automático los haya traducido de otro idioma. Ten presente que si una empresa seria se pone en contacto contigo, prestará atención a la ortografía.
En este mensaje se usa una mayúscula donde debería haber una letra minúscula y, además, se usa el nombre de Kutxabanco cuando el nombre real de la entidad es Kutxabank. Ningún banco se equivocaría escribiendo su propio nombre.
3- Comprueba el diseño
La mayoría de las empresas envía todas sus comunicaciones siguiendo una misma línea gráfica. Esto no aplica a los SMS, pero si recibes un e-mail de un banco y su estilo es distinto al de todos los correos que has recibido previamente, desconfía.
Como puedes ver en este e-mail, el diseño no se corresponde con el de un banco e, incluso, la imagen está rota. Un banco no enviaría un correo así.
4- Presta atención al tono
Los ciberdelincuentes suelen recurrir a mensajes de alarma para preocupar a sus víctimas y que caigan en su trampa. Si recibes una comunicación en la que te indican que tu cuenta está en peligro o que tu tarjeta ha sido bloqueada o algo similar y te invitan a hacer alguna acción urgentemente como, por ejemplo, cambiar tu contraseña, llama primero a tu banco o a la empresa que presuntamente te esté enviando el mensaje y acláralo.
5- Revisa el enlace
El objetivo final del phishing es robarte tus datos personales. ¿Y cómo lo consiguen? De dos maneras, o bien te los roban instalando en tu dispositivo un virus o, más fácil todavía, tú se los das inconscientemente.
Por lo general, los mensajes fraudulentos van acompaños de un archivo adjunto o de un enlace que dirige a una web falsa. Estas páginas se parecen mucho a las originales, pero en realidad son una copia. Para empezar, su URL será distinta. Además, es posible que la mayoría de los enlaces no funcionen o que todos los botones te lleven siempre al mismo sitio: un formulario para que introduzcas tus datos personales (claves de tus cuentas, números de tus tarjetas, etc.). Recuerda, al ciberdelincuente le interesan tus datos para poder robarte tu dinero.
Como puedes ver, en el e-mail que hemos recibido el enlace al que dirige el botón para, supuestamente, actualizar tus datos no tiene nada que ver con el banco.
Nunca descargues ningún archivo y nunca pinches en los enlaces y, si lo haces, no compartas tus datos personales. Si has recibido un e-mail, pasa el cursor por encima del enlace, sin llegar a pinchar, y comprueba cuál es la URL que aparece en la esquina inferior izquierda de tu pantalla. Puedes comparar esa dirección con la URL real de la web que suplanta. Comprobarás que no son la misma.
Verifica siempre en qué web estás
Acabar en una web falsa no es tan difícil. Y no hace falta que recibas un SMS o un e-mail de phishing para que te ocurra. Puedes terminar entrando en una página fraudulenta a través de un enlace procedente de la redes sociales o, directamente, desde tu buscador de confianza.
Por ejemplo, si buscas "correos prepago" en este buscador, el primer resultado es una web falsa, mientras que el segundo es la página correcta de la compañía. Como puedes comprobar, la URL de la primera web es distinta, pero usa una combinación de letras que despistan.
He sido víctima de phishing, ¿qué hago?
Lo primero que tienes que hacer es analizar qué datos personales has compartido. Si has rellenado un formulario con las claves de tu banca online o los datos de tu tarjeta, llama a tu banco cuanto antes para que bloqueen tu tarjeta y tu banca online. También puedes cancelar tus tarjetas tu mismo a través de la app de tu banco, aunque lo más recomendable es que contactes con tu banco para informarle de lo que te ha pasado y que tome las medidas oportunas.
Si los ciberdelincuentes te han robado dinero, acude a la Policía y pon una denuncia. Luego presenta la denuncia a tu banco. Te ayudará a apoyar tu reclamación para recuperar el dinero.
Consejo. Si han suplantado la identidad de tu banco y has caído en la trampa, bloquea tu tarjeta lo más rápido posible, cambia las contraseñas de tu banca a distancia y tu clave de firma, e informa al banco.
