10 consejos contra la amenaza del phising

El phishing es junto al Ransonware las dos mayores amenazas para la ciberseguridad mundial. Todas las semanas vemos como alguno de los grandes bancos, empresas u administraciones, son elegidas por los ciberdelincuentes para ‘lanzar el anzuelo’. Porque de eso se trata, de una estafa en el mundo digital, que, aunque nos parezca increíble a la mayoría, sigue siendo altamente efectiva ya que solo requiere que una parte de los usuarios caiga en su «cebo» y «pique» para obtener rentabilidad. Y lamentablemente seguimos picando.

Como debes saber, el phishing es una técnica maliciosa empleada por los ciberdelincuentes que usan toda clase de artimañas para ganarse la confianza del usuario digital. Para ello, suplantan la identidad de organismos oficiales, empresas conocidas, entidades bancarias, redes sociales o servicios populares, para con cualquier excusa engañar a los usuarios. Para hacerlos más reales, suelen lanzar las campañas coincidiendo con grandes eventos deportivos, presentaciones de renta o cualquier catástrofe como la DANA de Valencia.

La vía principal elegida había venido siendo el correo electrónico, aunque hoy puede ser cualquier otro y, de hecho, en la era de la movilidad se está imponiendo el uso de los mensajes cortos a móviles o enlaces en redes sociales. El objetivo de todos ellos es obtener información confidencial de los usuarios, especialmente datos de cuentas bancarias y/o tarjetas de crédito, o contraseñas de acceso a servicios. A partir de ahí, puedes esperar cualquier cosa, desde el robo de tu dinero al uso de la tarjeta de crédito para compras, al control de tu computadora personal o inyección de malware para ataques posteriores tipo Ransomware u otros.

10 consejos contra la amenaza del phising

En un caso de phishing típico, recibirás un mensaje o correo electrónico falso donde (supuestamente) una entidad conocida (Hacienda, un banco, una gran empresa, un servicio de Internet que usemos…) te solicita una serie de datos o pinchar en un enlace. Los mensajes suelen ser preocupantes, urgentes o directamente amenazantes: «Cuidado, actividad sospechosa en su cuenta»; «Hacienda ha aprobado un embargo por impagos»; «Tiene una multa pendiente en la DGT»; «Le han robado su contraseña»… O cualquier otra que alerte al usuario.

La suplantación de identidad del organismo o empresa por el que se hacen pasar está cada vez más lograda, con imitaciones realmente bien conseguidas y en los últimos tiempos se está apoyando en las capacidades de la IA. El contenido de estos mensajes ha aumentado considerablemente en relevancia y autenticidad, lo que los hace más efectivos y difíciles de detectar. Sin embargo, la gran mayoría son detectables prestando la necesaria atención y una serie de consejos generales como los diez que hemos seleccionado:

1. No abras correos de usuarios/empresas desconocidos o que no hayas solicitado, elimínalos directamente.
2. No descargues ningún archivo adjunto de este tipo de mensajes, incluso de conocidos. Es probable que incluya un troyano, generalmente bancario.
3. Nunca compartas tus contraseñas con nadie a través de ningún medio de Internet. Ningún organismo oficial o empresa va a solicitar datos confidenciales por correo electrónico o SMS. Cuidado especial con las compañías financieras.
4. Utiliza el sentido común con esas promociones que «regalan» cualquier cosa o promocionan «ofertones». Nadie da duros a cuatro pesetas… Desconfía siempre.
5. Sospecha especialmente de los mensajes con redacciones raras en español y faltas gramaticales. Suelen ser producto de traducciones automáticas y son todas falsas.
6. Si recibes un mensaje de tu banco o cualquier organismo, busca asistencia a través de su página web, oficina física y en general, siempre páginas oficiales.
7. Entra siempre a las páginas web por las URLs oficiales, especialmente en banca electrónica. Estarán protegidas con HTTPS y tendrán el certificado de seguridad correspondiente.
8. Desconfía de cualquier correo que te redireccione a otras páginas web.
9. Cuidado especial con las URLs acortadas, suele ser un mecanismo que utilizan los estafadores para enmascarar los links maliciosos.
10. Aumenta tu nivel general de seguridad informática, con atención a los apartados principales de cualquier manual de ciberseguridad: uso de contraseñas fuertes; software actualizado; prudencia en la navegación por determinados sitios web; cuidado con los archivos descargados; uso de autenticaciones de doble factor 2FA y mucho, mucho sentido común.

¿Y si caes en la trampa del phishing?

Si aún observando los anteriores consejos, hemos caído en algunos de estos fraudes, debemos seguir una serie de pasos para limitar su incidencia:

• Cambia todas las contraseñas, especialmente las de las cuentas implicadas. Apóyate en gestores de contraseñas especializados para facilitar su administración.
• Comprueba tus dispositivos en la búsqueda de malware y límpialo.
• Eliminar cualquier tipo de archivo que hayamos descargado de correos maliciosos.
• Activa la verificación en dos pasos para evitar la suplantación de identidad.
• Recopila todas las pruebas posibles e interpón denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Comparte el caso con tus familiares y amigos para evitar que caigan en una trampa similar. No te de verguenza, cualquiera podemos ser víctima.
• Y, por supuesto, contacta con el banco para cancelar cualquier pago no autorizado o bloquear tarjetas.

La entrada 10 consejos contra la amenaza del phising es original de MuySeguridad. Seguridad informática.