e-mail Phishing; qué es y cómo prevenirlo

¿Qué es el phishing?

Es el método más extendido – por su fácil distribución y expansión – para conseguir engañarte y “robar” tus datos personales como por ejemplo información personal, contraseñas o datos bancarios (de la tarjeta de crédito/débito, de la cuenta bancaria, etc.).

Los hackers hacen envíos masivos de correos electrónicos fraudulentos. Estos emails pueden “provenir” de organizaciones legítimas – de hecho, es lo más probable – pero en realidad son suplantaciones de identidad. Seguramente incluyan enlaces que te llevan a sitios web en teoría conocidos, pero que realmente son una copia idéntica – o casi idéntica – de la original donde te solicitarán información confidencial.

Las organizaciones más suplantadas son las económicas: PayPal, tu banco, o cualquier aplicación de dinero online. Pero también pueden provenir de una agencia gubernamental, de tu empresa de suministros – gas, luz, telefonía, etc. – o incluso de alguien que te ofrece un trabajo difícil de rechazar (suele ser un trabajo que requiere muy poco esfuerzo y te ofrecen un salario desorbitado).

Seguramente lo sepas, pero la palabra phishing se crea a partir de la palabra inglesa fishing, que significa pescar. Es un término que hace alusión al intento de hacer que los usuarios «muerdan el anzuelo». También se dice que el término phishing es la contracción de “password harvesting fishing” (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura “ph” es comúnmente utilizada por hackers para sustituir la “f”, a raíz de la antigua forma de hacking telefónico conocida como “phreaking”.

¿Cómo prevenirte del phishing?

9 consejos para tener en cuenta:

1. Revisa – pero sin fiarte del todo – el nombre del remitente

El nombre – incluso la dirección de correo – del remitente se puede falsificar “fácilmente”. La mayoría de las bandejas de entrada solo muestran el nombre de la persona que nos escribe, por lo que siempre deberás verificar la dirección de correo electrónico en el encabezado (From:) y, si te parece sospechoso o ves alguna incoherencia, no descargues nada que incluya ni pinches en ningún enlace – lo mejor, que ni lo abras.

2. Verificar a donde nos llevarían los enlaces antes de pinchar sobre ellos

Este es un consejo muy importante, deberás ponerlo en práctica siempre. Por eso, vamos a verlo con un caso real, lo entenderás mucho mejor.

Suplantación Banco Santander: Un ciberdelincuente se hace pasar por la entidad financiera

Cómo vemos en la imagen, “el banco” nos escribe indicando un problema en su sistema. Aunque el nombre del remitente es coherente (era para la cuidad de Río), el email ya nos está avisando de algo sospechoso, el dominio es “.com.ar” cuando debería ser solo “.com”. A su vez, si nos situamos sobre la URL donde nos indican que pinchemos (OJO, solo posicionar el ratón encima del enlace, NUNCA pinchar directamente) para la verificación de datos, vemos que en teoría nos tendría que llevar a: “santander.com.ar”, sin embargo, comprobamos en la parte inferior izquierda de la pantalla la URL donde realmente nos está dirigiendo: “http://mu….biz/appserv/principal.html”. ¿Raro verdad? Empezando porque nos lleva a un sitio web http en vez de https – la “s” nos indica que es un sitio seguro – y que no tiene nada que ver con la URL que nos indicaban.

3. Asegúrate que son Webs seguras

Como mencionábamos en el ejemplo anterior, una URL con “https” te está indicando que el sitio web es seguro. Esta revisión la deberíamos hacer siempre, ya que no es nada difícil y te asegura que estás en un sitio seguro. Desde dispositivos móviles, al ser más reducido el espacio donde está la URL, podremos comprobar que la el sitio web es seguro viendo que el candado está cerrado – aunque si pinchamos sobre la URL, se abrirá completa y podremos comprobar que es “https”. Por lo tanto, nunca introduzcas datos confidenciales en webs no seguras.

4. Comprueba el idioma y posibles errores ortográficos

Por lo general, todas las empresas cuidan mucho el aspecto de sus correos electrónicos. Todos cometemos errores, pero en principio un email legítimo vendrá correcto ortográficamente y en tu idioma. Aunque el phishing no tiene límites – los traducen a cualquier idioma – ¿por qué te van a mandar un email en inglés? ¿Saben – en caso de ser de España – que eres de nacionalidad española, no? Un ejemplo de PayPal:

En el ejemplo no solo vemos que el idioma no corresponde al que debería, también confirma todo lo mencionado anteriormente: La dirección del remitente no es coherente – aunque sí su nombre –, el link “Review Your Account Activity” lleva a un sitio web un tanto raro (aunque en este caso sería https, no corresponde a un sitio legítimo de PayPal), etc.

5. No te creas todo lo que te dicen

Los mensajes de phishing – como mencionábamos al principio del post – son masivos. No tienen una víctima específica, sino que buscan hackear el máximo de cuentas posibles. Por eso, es posible que te lleguen correos indicando acciones que no has realizado.

En este ejemplo de Facebook, vemos que nos indican que han valorado una foto nuestra. Piensa en si has subido una foto recientemente antes de emprender ninguna acción.

También se confirman todas las sospechas de phishing por – otra vez – todo lo mencionado anteriormente (email del remitente incoherente, idioma “incorrecto”, etc.).

Nota: Como ves, los patrones generales se repiten mucho, con un poco de práctica, los reconocerás casi de inmediato y podrás prevenir la mayor parte de los ataques de phishing de manera automática.

6. Desconfía de un lenguaje “urgente” o “amenazante”

Muchas veces intentarán “pescarte” aludiendo a una urgencia. Ten especial cuidado con los asuntos “tu cuenta ha sido suspendida” o “ha habido un intento de inicio de sesión no autorizado”, son especialmente comunes por la difícil comprobación de la veracidad. Ante estos casos, llama a la empresa en cuestión para comprobar si es cierto o no, por norma general, ninguna empresa va a solicitarte datos personales vía email.

También se puede dar el caso que nos lleguen amenazas por email. Un caso común es, que te indiquen que te han grabado a través de tu webcam – te indicarán que has navegado por webs pornográficas o similares y que te han grabado haciendo algo poco agradable – y que van a difundir ese vídeo a todos tus contactos. Normalmente, te solicitarán una extorsión en alguna criptomoneda (Bitcoin o alguna otra), ya que estas divisas son muy difíciles de traquear.

7. Procura revisar tus cuentas periódicamente

No tiene por que ser a diario, pero si debieras tener conocimiento de los movimientos – en este caso los online – que has realizado últimamente. Cuanto mas claro tengas las compras online que has realizado, será menos probable que sufras un hackeo.

*También es recomendable estar al tanto de las acciones que realizamos en la web; en tus redes sociales, en tus plataformas preferidas de e-commerce, de vídeo por streaming, etc. Con todos los movimientos online claros, no podrán engañarte tan fácilmente.

8. Redes Wifi públicas

Este tipo de redes Wifi – en aeropuertos, cafeterías, etc. – son especialmente vulnerables. Para entendernos, son más fáciles de hackear para un experto ciberdelincuente. Intenta reducir, en la medida de lo posible, las conexiones a este tipo de redes.

9. Informa del phishing cuando puedas

Si te das cuenta de una campaña de phishing imitando a tu banco – o a cualquier empresa de cual eres cliente (por ejemplo, contacta con el soporte del banco, la red social, etc.) – informa cuanto antes para que puedan tomar medidas. Además, posiblemente estarás ayudando a capturar a estos criminales.

Espero que estos consejos te resulten útiles y que ayuden a protegerte frente a estos – odiosos – ataques cibernéticos.

Fuentes:

https://www.avast.com/es-es/c-phishing

https://www.interbel.es/mdaemon-consejos-identificar-phishing-correo-electronico/

https://www.kaspersky.es/resource-center/preemptive-safety/phishing-prevention-tips

https://es.wikipedia.org/wiki/Phishing