Acabas de recibir un de correo electrónico, lo abres y resulta ser un mensaje que dice lo siguiente: ‘Tu pedido está en camino, pero ha habido un problema y es necesario completar algunos datos personales’. Hasta aquí puede resultar normal si no fuera por qué en realidad, tu no estás esperando ningún paquete. ¿Te resulta familiar esta escena? Estamos indudablemente ante un común caso de phishing. Es un clásico en el mundo cibernético que, si bien lleva muchos años por la red, a día de hoy se siguen lanzando multitud de ataques de este tipo.
Los estafadores son los primeros en innovar en sus tácticas y cada día nos encontramos ante ataques más conseguidos
Antes de nada, empecemos por el principio, ¿que es un ataque phishing? Se trata de una forma de cibercrimen que consiste en enviar correos electrónicos que aparentan ser de un proveedor conocido pero cuya finalidad es la de manipular y estafar al receptor y hacerse así con información confidencial.
Son muy habituales mensajes alertando de que ha habido un error por ejemplo en la factura de la luz y es necesario corregir unos datos, o por ejemplo mensajes donde el receptor ha sido supuestamente premiado en un sorteo de una conocida marca.
Si bien su medio más común hoy en día es el correo electrónico, este tipo de ataque también se realiza a través de WhatsApp o incluso SMS.
¿Cómo reconocer que estamos ante un ataque phishing?
Los estafadores son los primeros en innovar en sus tácticas y cada día nos encontramos ante ataques más conseguidos. No obstante, siempre podremos dar con indicios que nos ayudarán a reconocer si el mensaje es de procedencia peligrosa.
La fórmula que siguen en la mayoría de los casos los mensajes de phishing es la misma, una historia donde intentan engañar al cliente con el objetivo de que este caiga en un clic o abra un archivo adjunto, activando así el virus.
Hablamos de mensajes con contenido como podrían ser los siguientes:
- Solicitar completar una serie de datos personales
- Incluir una factura que resulta ser falsa
- Ofrecer un regalo
- Afirmar que hay un problema con su cuenta
- Informar de que es necesario registrarse en un enlace para recibir un reembolso
- Informar de que se ha detectado una actividad sospechosa o inicio de sesión que resulta ser falso
Tipos de phishing
- Phishing engañoso: Es el más frecuente. A través de este método, los ciberdelincuentes suplantan la identidad de la víctima (empresa o particular), suele no ser muy personal y se difunde sin un objetivo concreto.
- Spear-phishing: Se definen por estar altamente personalizados. Si bien el objetivo sigue siendo engañar al destinatario, el mensaje está más elaborado, detallando nombres y datos personales que hacen que sea más difícil de detectar
- Whale-phishing: Está dirigido principalmente a directores ejecutivos o a correos de empresa, con la intención de obtener credenciales de acceso. Una vez obtenidos estos datos, el delincuente puede suplantar la identidad de la víctima y autorizar transferencias bancarias u otras acciones de gran impacto
¿Cómo puedo protegerme ante este tipo de ataques?
- Protege tu ordenador o teléfono móvil con un buen programa de seguridad
- No entregues datos financieros o personales por correo. Las compañías que los necesiten no te los van a utilizar este sistema para solicitártelos
- Comprueba la veracidad de la página web de la que has recibido el correo sospechoso
- Si sospechas que has podido ser víctima de un ataque phishing, cambia de manera inmediata todas tus contraseñas y ponte en contacto con la empresa o entidad financiera para informarles
- Antes de hacer clic en los enlaces sospechosos, escribe de forma manual la dirección en el ordenador
- Ante cualquier duda, no arriesgues, el mejor consejo ante el phishing es siempre fomentar la prudencia entre todas las personas que forman parte de la organización. Asegurar la autenticidad del contenido ante la más mínima sospecha es la mejor política
¿Cuáles son los sectores más afectados?
Según un reciente estudio de Panda Security, con el aumento del teletrabajo y su consecuente uso de aplicaciones y suites ofimáticas, ha sido un importante foco de intentos de phishing, pero hay más.
Las compañías de transporte y reparto son un sector que está viendo como se están popularizando mensajes suplantando su nombre para hacer creer a los clientes que están esperando un paquete.
Además, encontramos este tipo de ataque en los servicios de pago por internet, servicios de streaming, redes sociales y en varios departamentos de la administración pública, como es el caso de un aviso de error en la declaración de la renta.