Phishing: guía para detectarlo y evitarlo

Saber cómo evitar el phishing es imprescindible tanto a nivel particular como a nivel profesional porque el robo de nuestros datos puede causarnos un daño importante. Pero, ¿en qué consiste exactamente este ciberdelito y cómo podemos identificarlo para evitar caer en él?

En este artículo hacemos un repaso por todos estos puntos para estar bien alerta y evitar ser víctimas del phishing por email.

¿Qué es el phishing por correo electrónico?

El phishing por correo electrónico es una técnica utilizada por ciberdelincuentes para obtener información personal y sensible de las víctimas a través del correo electrónico. 

El objetivo del phishing es engañar a la víctima para que revele información confidencial, como contraseñas, números de tarjetas de crédito o información de inicio de sesión de cuentas en línea.

Vamos, que estamos hablando de un delito por Internet que mucha gente sufre lamentablemente por desconocimiento.

Cuando se trata de ataques por SMS hablamos de smishing. De hecho, con el crecimiento del comercio electrónico no es raro que las empresas de paquetería sufran este tipo de suplantaciones para tratar de engañar a los usuarios.

Revisa entre tus SMS, seguro que tienes algún mensaje así.

El spear-phishing y whaling, la evolución más sofisticada del phishing

Ambas son técnicas de phishing. 

Cuando hablamos de spear-phishing hablamos de una técnica muy personalizada que se dirige a un grupo específico de individuos o empresas. Los atacantes investigan de forma muy cuidadosa para obtener información sobre los objetivos y utilizan esta información para diseñar correos electrónicos convincentes y personalizados que parecen provenir de fuentes legítimas. 

Por otro lado, el whaling es un tipo de spear-phishing que se dirige específicamente a personas de alto perfil en una organización, como ejecutivos, gerentes y directivos. 

Los ataques de whaling suelen tener como objetivo robar información financiera o de negocio confidencial o para realizar transferencias fraudulentas de dinero. Los correos electrónicos utilizados en el whaling suelen ser muy convincentes y pueden incluso parecer provenir de la alta dirección de la empresa.

En resumen, el spear-phishing y el whaling son técnicas de phishing altamente personalizadas enfocadas en el sector empresarial. Ambos buscan engañar a las personas y robar información confidencial pero el whaling se enfoca específicamente en individuos de alto perfil en una organización.

¿Cómo evitar un ataque de phishing por email?

El fraude por phishing está a la orden del día y cada vez se perfecciona más. Lamentablemente es muy difícil evitarlo por eso lo más recomendable es aprender a detectarlo para no caer en él.

Algunos consejos para evitar el phishing son:

• Mantenerse al día sobre novedades en ciberataques y la evolución de nuevos malwares. Así podrás conocer los nuevos timos que están llegando y evitarás caer en ellos. En ocasiones, son las propias empresas las que avisan de que han sido atacadas en sus redes sociales o por email.
• Usa un buen antivirus y tenlo siempre actualizado a la última versión. Esto reducirá el número de correos potencialmente peligrosos que llegan a tu bandeja de entrada.
• Configurar bien tu gestor de correo electrónico para que distinga más fácilmente entre remitentes de confianza y aquellos que no lo son. Enviando las comunicaciones de estos últimos directamente a la bandeja de correo no deseado.

El phishing email puede llegar a ser difícil de detectar porque los estafadores clonan bastante bien la imagen de la entidad a la que quieren suplantar. No obstante, siempre hay elementos que pueden hacer saltar las alarmas. 

Vamos a ver algunos de estos elementos.

¿Cómo detectar un ataque de phishing en tu correo?

Los delincuentes utilizan correos electrónicos diseñados para parecer legítimos, utilizando logotipos y diseños de empresas reales para que parezca que el correo electrónico proviene de una fuente confiable. 

Sin embargo, no siempre están bien trabajados y en ocasiones se cometen muchos fallos fácilmente detectables.

Por regla general, todos los emails de phishing tienen un elemento común:

Incluyen un enlace a una página web falsa que parece auténtica

Pero en realidad es una copia de la página original, diseñada para recopilar información personal y sensible captando así los datos.

Por ejemplo, un correo electrónico de phishing podría pretender ser de un banco, solicitando que la víctima haga clic en un enlace y verifique su información de cuenta. Al hacer clic en el enlace, la víctima es redirigida a una página web falsa donde se le solicita que ingrese su información de inicio de sesión, lo que permite al delincuente acceder a su cuenta.

Suelen clonar el diseño para que no llame tanto la atención de que no es oficial.

5 consejos para identificar un correo electrónico de phishing

URL sospechosa

Como decía anteriormente, la clave para saber si estamos ante un correo de phishing es fijarnos en la URL a la que dirige el email.

⚠️ IMPORTANTE: no hacer clic, simplemente coloca el ratón encima y abajo en la esquina izquierda del navegador verás la dirección web a la que dirige. 

Otra opción para poder ver la URL a la que dirige es hacer botón derecho > Copiar dirección de enlace y lo pegas en un documento o bloc de notas para comprobar si apunta a una página oficial o a una sospechosa.

Otro punto a comprobar es si esa URL es segura o no. Si es http o https. Generalmente, los sitios web que piden datos sensibles suelen tener el protocolo seguro https. Y los de phishing son http.

Eso te dará otra pista.

Dirección de email no oficial

Relacionado con el punto anterior, fíjate en el remitente que envía el correo. El dominio no suele ser el oficial y eso llama mucho la atención.

Mira este ejemplo de la Agencia Tributaria:

El email del remitente es noreplys1@eagenciatributaria.es

Si el noreplys1 llama la atención imagínate el dominio eagenciatributaria.es. Pero claro, esa “e” después del @ suele pasar desapercibida y la gente con cosas de Hacienda entra en pánico.

Faltas de ortografía

El phishing de guerrilla ni siquiera se preocupa por escribir correctamente. Por eso, un email en el que haya mayúsculas, muchas exclamaciones y faltas de ortografía suele ser sospechoso de phishing. 

Mira este ejemplo de phishing que sufrió Google y lo mal redactado que está.

Fuente de la imagen: OSI

Mensajes de urgencia

Otra alerta para detectar un posible correo de phishing es la urgencia en tomar acción del mensaje.

Suelen decir “hazlo ya” o “tienes X días”, etc. Esto crea pánico en un alto porcentaje de la población que pica y es víctima a causa de esta inmediatez.

Fíjate en este ejemplo de, supuestamente, La Caixa y cómo solo da de plazo 8 horas para “desbloquear la tarjeta”.

Diseño poco corporativo

Por último, aunque muchos ciberdelincuentes sí se trabajan el phishing con un diseño más corporativo, hay otros que lo pasan por alto. 

Esto es una señal inequívoca de que se trata de un timo. Me remito al ejemplo anterior de “La Caixa” donde es 0 corporativo y apesta a estafa. Por no hablar de que no han incluido ninguna tilde… 

Tipos de emails que son sospechosos

Claramente, hay ciertas empresas que son más sensibles a ser suplantadas y recibir ataques de phishing que pagan los usuarios.

Algunos tipos de emails son:

Suspensión de cuentas o tarjetas bancarias bloqueadas

A veces, puedes recibir mensajes de phishing que dicen que tu banco ha suspendido tu cuenta temporalmente debido a una actividad inusual. 

¿Cómo actuar en este caso?

• Si recibes un correo electrónico así de un banco que no es el tuyo, bórralo sin dudarlo. 
• Si tienes cuenta en el banco mencionado en el mensaje, comprueba primero si es auténtico y, si no estás seguro, contacta directamente con tu banco antes de hacer clic en cualquier enlace. 

Es mejor estar seguro antes de hacer algo que pueda poner en peligro tu información confidencial.

Devolución de impuestos

Durante la campaña de la renta o en periodo de presentación de impuestos, los estafadores pueden enviar correos electrónicos haciéndose pasar por la Agencia Tributaria para engañar a la gente. 

Ten mucho cuidado con estos emails que informan de ingresos inesperados en efectivo y con los correos electrónicos que supuestamente provengan de la Agencia Tributaria.

Las estafas de phishing relacionadas con la devolución de impuestos son especialmente peligrosas, porque pueden solicitarle el número de Seguridad Social y los datos de tu cuenta bancaria. 

Por lo tanto, precaución máxima y verifica siempre la autenticidad del remitente antes de proporcionar cualquier información personal.

Confirmación de pedidos

Otra estafa muy común es cuando te envían correos falsos de confirmación de compras que nunca has hecho. Estos correos suelen tener adjuntos con recibos o enlaces que supuestamente te llevan a más información sobre tu pedido. 

Los hackers usan estos trucos para infiltrarse en tu dispositivo y llenarlo de virus. Así que ten cuidado y no abras nada que parezca sospechoso o que no esperes recibir.

Esto también es muy habitual en SMS con avisos de empresas de reparto.

¡Mucho cuidado!

Qué hacer si caes víctima de un ataque de phishing por correo electrónico

Ya hemos mencionado que es importante que no respondas al correo electrónico ni hagas clic en ningún enlace o descargues ningún archivo adjunto.

Sin embargo, hay veces que están muy bien construidos y es inevitable caer, por despiste o por desconocimiento.

Si has sido víctima de un delito de este tipo te dejo algunos puntos que deberías seguir:

• Si ya has proporcionado información personal o financiera, comunícate inmediatamente con tu banco o institución financiera y reporta el incidente.
• Cambia las contraseñas de todas tus cuentas que puedan estar comprometidas, especialmente si utilizaste la misma contraseña en múltiples cuentas.
• Si es posible, informa al remitente de correo electrónico de phishing a la entidad correspondiente (por ejemplo, el banco, la empresa de tarjetas de crédito, etc.) y a las autoridades de seguridad informática.

Aprende a reconocer los signos de un correo electrónico de phishing en el futuro y mantén tus sistemas de seguridad actualizados y protegidos.

Este artículo espero que te haya arrojado algo de luz.

Concluyendo

Hemos visto que, lamentablemente, el phishing está a la orden del día. El correo electrónico se ha convertido en el canal más personal con el que nos comunicamos y de esto se aprovechan los ciberdelincuentes.

A modo de resumen, recuerda estos consejos para que sepas cómo actuar ante el phishing:

• Verifica al emisor del correo. Si tienes dudas de que de verdad sea tu banco, tu compañía de la luz, etc., lo mejor que puedes hacer es llamar a atención al cliente y consultar con ellos.
• Nunca hagas clic si sospechas ni abras documentos adjuntos. Pon el cursor del ratón encima para ver la página web a la que dirige (pero sin hacer clic)
• Fíjate en el diseño y el estilo de redacción. Eso te dará pistas de si es phishing o es un mensaje oficial.

Anda con ojo con los emails que recibes porque en ocasiones te dan alegrías y en otras… ¡muchos disgustos!