Phishing y otras formas de fraude: cómo mantenerte a salvo de las estafas virtuales

El fraude en internet tiene muchas caras. Desde “ofertas especiales” sospechosas hasta ingresos de dudoso origen, las estafas son tan comunes para los usuarios de la web que muchas se han convertido directamente en parte del folklore de la world wide web.

Sin embargo, a pesar de esto, los ciberatacantes siguen acechando tras la pantalla, deseosos de sacar partido a una mezcla de confianza, miedo o simplemente ignorancia. A menudo, estos agentes maliciosos tienen éxito no porque penetren directamente en la seguridad del sistema sino porque pueden sacar a escena un truco que debería asustarte.

Ese truco es el “phishing”: una de las palabras más extrañas que puedes ver en ciberseguridad, y una de las amenazas más serias.

Primeros pasos: tirar la caña

En pocas palabras, el phishing hace referencia a una forma de fraude digital en la que un ciberatacante intenta engañar a alguien para que revele información confidencial. La información que quieren estos villanos puede cambiar, pero normalmente se trata de credenciales de inicio de sesión o información financiera.

Lo más típico es que este intento se realice mediante correo electrónico u otro tipo de mensajería, aparentando que el emisor es alguien importante (una filial bancaria, un técnico informático o un cliente destacado). Ese mensaje es el “cebo”, una situación que prepara un anzuelo digital para que los destinatarios lo muerdan y el atacante pueda recoger el hilo y pescar a su presa.

Los resultados del phishing son obviamente graves y potencialmente pueden impedir que la víctima acceda a los sistemas, a datos confidenciales o a los fondos disponibles en sus cuentas bancarias. Por tanto, no debería sorprender que algunos de los cibercriminales más exitosos de la historia recurran al phishing, como suelen hacer algunos grupos apoyados por Rusia como Cozy Bear o Fancy Bear.

Hay algunas formas graves de ciberataques que estos agentes maliciosos pueden utilizar:

  • Spear phishing es cuando un atacante se dirige contra un individuo concreto (a menudo alguien con autorización de alta seguridad para un sistema online) como si fuera un pescador que lanza su arpón contra un pez concreto.
  • Vishing, palabra que surge de la combinación de “voice” (voz) y “phishing”. Se trata de una llamada telefónica en la que la persona que llama finge hablar en nombre de una entidad legítima.
  • Smishing, combinación de las palabras “SMS” y “phishing”. Consiste en mensajes de texto que aparentan provenir de fuentes oficiales.

Reconocer una estafa

Entonces, ¿cómo te puedes defender de estos timos?

Para empezar, la desafortunada verdad es que ninguna tecnología puede protegerte por completo de todas las formas de “-ishing”. Lo cierto es que todas se realizan mediante la comunicación, no por una intrusión en el sistema. En otras palabras, como estas estafas siempre están tocando a tu puerta, la única forma de impedir su acceso es impedir el acceso a todos los visitantes.

Teniendo esto en mente, la mejor forma de no caer en estas mentiras es reconocerlas. Por suerte, a menudo basta con fijarse en algunos aspectos para saber qué mensajes son falsos.

1. Cuidado con las prisas

Aunque algunos atacantes son muy pacientes, la mayoría de los phishers actúan con urgencia. A menudo empiezan preguntando la información que quieren usando un tono exigente y apresurado.

Esta urgencia es reveladora. Recuerda que un profesional tecnológico o un agente financiero real nunca te meterán prisa para que le facilites información sensible, mucho menos por medios electrónicos.

Cuando un mensaje te invite a enviar tu información privada en ese preciso momento, lo más probable es que la única razón por la que insisten tanto es que son estafadores buscando un botín rápido.

2. Si parece demasiado bueno para ser cierto …

¿Una sorprendente oferta con dinero en efectivo? ¿Un suculento premio por un concurso en el que nunca participaste? ¿Pagar la mitad por tu factura de la luz instantáneamente? Las supuestas “ofertas especiales” como estas aparecen una y otra vez en las bandejas de entrada y los teléfonos móviles.

El motivo está claro: lo más habitual es que sean mensajes basura.

Como se suele decir, las propuestas que suenan demasiado bien para ser ciertas, a menudo no lo son. Así que si una oportunidad que presuntamente cambiará tu vida te llega por una llamada, un mensaje o un correo electrónico, ojo, es muy probable que haya un estafador trabajando al otro lado.

3. Identidad misteriosa

Algunos phishers se esfuerzan mucho porque sus mensajes parezcan auténticos, especialmente en los logos y direcciones de correo.

Sin embargo, si te fijas bien, normalmente las apariencias caen por sí solas.

En el caso de un correo electrónico, incluso cuando un estafador utiliza un logo oficial o el nombre de una empresa, normalmente dejan rastro de sus malas intenciones. Por ejemplo, un phisher puede utilizar una dirección como “home.spotify.xyz” pero un correo real de Spotify utilizaría el dominio “spotify.com”.

Aquí hay otro ejemplo real de una estafa, proporcionado por la Comisión Federal de Comercio de Estados Unidos (FTC):

Parece auténtico. Sin embargo, presta atención a la primera línea: ¿“Hi Dear”? ¿Hola Querido? Qué forma tan extraña de empezar un correo para restablecer la cuenta, teniendo en cuenta que Netflix suele utilizar tu nombre… Este tipo de inconsistencias, aunque puedan parecer pequeñas, son esenciales para diferenciar las comunicaciones reales de las falsas.

Por su parte, en las llamadas telefónicas, las señales son obvias cuando un mensaje grabado afirma que habla en nombre de una entidad pública o cuando quien llama dice representar una organización financiera que no se identifica. Cuando estas llamadas vienen de la nada, lo mejor suele ser colgar o presionar al agente sospechoso hasta confirmar la información.

4. La ortografía es clave

Incluso en la era de los autocorrectores, los errores ortográficos están a la orden del día. Sin embargo, hay una excepción: las comunicaciones oficiales de las empresas, pues un mensaje mal escrito afectaría negativamente a su reputación.

Así que si recibes un mensaje de texto o un correo electrónico presuntamente de parte de una entidad reconocida que está inexplicablemente lleno de errores ortográficos y faltas gramaticales evidentes, tienes motivos para poner en duda su autenticidad.

Aunque suene muy elitista, lo mejor es estar pendiente de posibles errores o señales de una redacción poco profesional cuando recibas un mensaje extraño y urgente de la nada. Esto suele ser un signo de que el emisor es alguien que no tiene una verdadera reputación que proteger.

5. Evita el botón del pánico

Uno de los recursos de una estafa eficaz es alarmar a las víctimas. Esto es obvio: cuando una persona entra en pánico, podría hacer casi cualquier cosa por su seguridad personal (incluso compartir la información de su cuenta con individuos desconocidos).

En términos prácticos, esto implica que si el correo electrónico, el mensaje o la llamada parecen diseñados para que entres en pánico, seguramente no tienen las mejores intenciones.

Sí, una advertencia que indique que tu cuenta puede estar en peligro es suficiente para que levantes las orejas. Además, ten en cuenta la formulación del mensaje: ¿parece más intenso de lo necesario? ¿Es especialmente agresivo? ¿Amenaza con consecuencias si no sigues su solicitud?

Cualquiera de estos elementos generalmente implica que el mensaje no tiene como objetivo informarte sino situarte en un estado de vulnerabilidad emocional, ¡una señal de que el mensaje es probablemente un engaño!

Una buena preparación es la mejor defensa

Aunque estar a salvo del phishing depende ampliamente de los usuarios particulares, la ventaja es que ya has hecho mucho para defenderte si estás atento a este tipo de estafas. Si te armas sabiendo que no todas las personas que envían mensajes son quienes parecen ser, ya vas un paso por delante de sus planes.

Otra cosa que conviene recordar es que, aunque estos consejos para identificar casos de phishing son bastante fiables, las particularidades de cada estafa siempre cambian. Los estafadores suelen crear nuevas estrategias para timar a los desprevenidos, así que lo mejor es mantener tus ojos bien abiertos para detectar cualquier nuevo truco que inventen los artistas del engaño.

Esto es especialmente crítico ahora, cuando los ciberatacantes, sobre todo aquellos con recursos proporcionados por el gobierno ruso, siguen siguen proliferando y creciendo sin parar. De hecho, los casos en los que los ciberatacantes vinculados con Rusia cometen phishing demuestran que estas estafas pueden afectar mucho más allá de los fondos y la reputación de tu empresa, también pueden redirigir los recursos de tu empresa en beneficio de los esfuerzos bélicos.

Por ti y por el resto del mundo, nunca ha habido un momento más importante para estar atento y mantener la protección de tus sistemas.

Para más consejos sobre ciberseguridad y tecnología, ¡suscríbete para recibir gratis nuestro!

Social Sharing

Deja un comentario