Blog

Qué es el phishing y cómo puedo detectar la estafa

Qué es el phishing y cómo puedo detectar la estafa

El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.

Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.

Si bien los ataques tradicionales de phishing son algo parecido a echar un anzuelo y esperar a ver quien pica sin importar el tipo de pez, también existen ataques de phishing personalizados dirigidos contra un individuo, o una organización en concreto.

Esto se logra realizando una pequeña investigación sobre los hábitos de la víctima, por ejemplo visitando sus perfiles de redes sociales.

A esto se le denomina Spear phishing.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañia telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar, y que haga clic en un enlace malicioso, que les redirigirá a una página web falsa.

Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de realizar algun trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.

Estimado cliente.Hemos detectado una actividad inusual en su cuenta, y por razones de seguridad hemos procedido a bloquearla.

Para verificar que usted es el titular de la misma es imperativo que confirme su identidad mediante nombre de usuario y contraseña.

Todas las cuentas afectadas deben verificarse antes del 14-02-2020.

Para ahorrarle molestias le facilitamos un enlace directo al departamento correspondiente.

Anteriormente, este tipo de mensajes, eran bastante cutres, mal redactados, y repletos de errores ortográficos y gramaticales para sospechar inmediatamente de ellos.

Pero se han vuelto cada vez mas sofisticados, por no hablar de que es muy fácil conseguir logos corporativos de diferentes empresas mediante una simple búsqueda en internet

Si la persona entra en pánico y pulsa en el enlace, será redirigido a una página que simula la del servicio genuino, y el ciberdelincuente se hara con sus credenciales.

Cómo detectar si un correo es un ataque Phishing

Una de las señales que nos indican que un mensaje puede ser un intento de estafa es su contenido genérico, que en vez de mencionar nuestro nombre completo, nos llaman cosas como usuario, estimado cliente o similares.

Algunos incluso incluyen un numero de referencia escrito al azar para darle mayor credibilidad al invento.

campaña de phishing

Ninguna empresa medianamente seria, tendría la poca profesionalidad y la descortesía de tratar a un cliente como un número y no llamarle por su nombre.

Las compañías legítimas utilizan direcciones de correo corporativas con un nombre de dominio propio.

Un banco, red social o cualquier corporación, nunca utilizará un correo gratuito como Hotmail,Gmail o similares, para ponerse en contacto con un cliente.

Otra forma que tienen los ciberdelincuentes de engañar a sus víctima es simular un correo corporativo, utilizando nombres de dominio similares, normalmente gratuitos y registrados para la ocasión.

Por ejemplo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. , cuando en este caso la dirección real del remitente seria Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Los mensajes través de servicios como WhatsApp,Twitter o Facebook, en los que ofrecen cupones de descuento o premios rellenando un formulario con datos personales, son otra forma de estafa.

En los casos de phishing dirigido (Spear phishing), el ciberdelincuente realiza una investigación en internet y las redes sociales de la víctima, para descubrir sus preferencias, lugar de trabajo, direcciones de correo electrónico, así como información sobre su entorno laboral o personal.

phishing dirigido

Esta información se puede utilizar para elaborar un perfil y crear un correo electrónico personalizado lo más creíble posible.

El phishing por voz, también conocido como Vishing, es una forma de phishing que se perpetra a través de medios de comunicación mediante voz.

Se le solicita a la víctima (generalmente mediante un correo electrónico) que llame al banco a través de un número gratuito para verificar la información de su cuenta bancaria

Para ello utilizan un sistema de respuesta de voz fraudulento para recrear una copia legítima de un sistema de IVR (sistema telefónico capaz de recibir una llamada e interactuar con el humano a través de grabaciones de voz) de un banco u otra institución.

Otras veces, son los propios estafadores quienes llaman directamente a la víctima haciendose pasar por el servicio de atención al cliente del banco u otro servicio.

Evitar caer en la trampa

Uno de los errores más comunes es entrar en pánico y no reflexionar.

Si, por ejemplo, recibimos un correo, mensaje o llamada en la que nos dicen que nuestra cuenta bancaria ha sido bloqueada y que para restaurarla hay que realizar alguna acción urgente, el siguiente paso lógico debería ser ponernos en contacto con nuestro banco o acceder directamente a la cuenta, para comprobar si existe o no algún problema.

En caso de poder operar con normalidad, estaríamos ante un caso de intento de estafa.

Lo mismo puede aplicarse a cualquier otro servicio como por ejemplo Facebook,Twiter, nuestro proveedor de internet o las empresas de suministros como el agua o la electricidad.

Tambien tenemos que tener muy claro que tanto nuestro banco, como otros servicios, nunca nos van a solicitar nuestro nombre de usuario y contraseña mediante correo electrónico, teléfono u otro tipo de forma de comunicación.

phishing renta

Las notificaciones de multas, pago de impuestos y otros temas administrativos, se realizan mediante correo certificado.

Tampoco la policía, va a comunicarse contigo mediante correo electrónico o ventanas emergentes  que aparecen de repente mientras navegas por internet, para decirte que has realizado una descarga ilegal o visitado sitios de pornografia infantil exigiendote el pago de una multa mediante Bitcoins.

Si has cometido un delito telemático, seguramente sufrirás la desagradable experiencia  de ver como  la policia revienta la puerta de tu domicilio a las seis de la mañana, para confiscarte el ordenador y todos los medios de almacenamiento externos, con una orden judicial en la mano.

Otra cosa a tener en cuenta es que un dominio de Internet, es un nombre único e irrepetible que se le da a un sitio web para que las marcas (propietarias de dichas páginas) sean identificadas de forma cómoda y sencilla por los usuarios y sus clientes.

Al considerarse como exclusivo, solo habrá una empresa, compañía, organización o persona con dicho nombre. Para asegurar esto, existen organizaciones como IANA e ICANN.

En caso de duda, siempre podemos verificar facilmente si una página web es quien dice ser, introduciendo su URL en estos servicios.

En phishbank.org, podeis comprobrar si vuestra solución de seguridad bloquea las páginas de phishing.

Qué hacer si has caído en la trampa

En caso de haber sido víctima de un fraude de tipo phishing, intenta recopilar toda la información que te sea posible: correos electrónicos, capturas de las conversaciones mediante mensajería, documentación enviada, etc.

Para los casos de phishing bancario, contacta con tu oficina para informarles de lo sucedido con tu cuenta online.

Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilices la misma clave de acceso que en el servicio de banca online.

Utilizar la misma contraseña para todos los servicios en línea, puede parecer muy cómodo, pero es una pesima idea.

Si un pirata informático se hace con ella, podrá aceder a todas tus cuentas.

A continuación, presenta una denuncia en el juzgado o ante las Fuerzas y Cuerpos de Seguridad del Estado.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.