El número de ataques informáticos a través de internet ha crecido exponencialmente en los últimos años. Términos como “phishing”, “smishing” y “vishing” acaparan titulares relacionados con el fraude electrónico pero, ¿en qué consisten exactamente estos métodos utilizados cada vez más por los ciberdelincuentes? Repasamos las características que definen cada uno de ellos y también qué precauciones debes tomar para estar seguro.
¿Qué es el phishing?
La Oficina de Seguridad del Internauta define el phishing como “una técnica utilizada por ciberdelincuentes para obtener tu información personal y bancaria”: desde nombres completos, números de tarjetas de crédito, cuentas bancarias hasta contraseñas para operaciones de banca online.
Los piratas informáticos envían un mensaje al usuario haciéndose pasar por un representante de un banco, una entidad pública, una empresa proveedora de un servicio o incluso una red social. Alegan todo tipo de excusas: actividades sospechosas en su cuenta, cambios en la política de privacidad, información sobre multas, etc.
En el mensaje, invitan al destinatario a realizar una acción que pone en peligro sus datos. Puede ser, por ejemplo, pinchar un enlace que redirige a una web fraudulenta o descargar algún documento. Por ello, es imprescindible detectar que se trata de un mensaje sospechoso antes de realizar alguna acción que pueda poner tus datos en peligro.
Estos consejos te ayudarán a evitar caer en la trampa:
1.- De entrada, no contestes nunca a un correo electrónico sospechoso. Verifica siempre la dirección y, si no está en tu agenda de correos, desconfía. Incluso si procede de alguien conocido, sé cauteloso si el asunto o el contenido del email no encaja con lo que esa persona habitualmente te envía: podrían haber secuestrado su buzón y estar utilizándolo para defraudar a sus contactos.
2.- Presta especial atención a la ortografía del mensaje. Los ciberdelincuentes suelen cometer errores ortográficos.
3.- Las estafas suelen ser masivas y los saludos no suelen estar personalizados. Debe llamarte la atención mensajes que comiencen con: “Hola, amigo”, “Estimado cliente”, etc.
4.- Las empresas y administraciones nunca solicitan información confidencial por correo electrónico. En el caso de que el email venga, supuestamente, de tu banco o de una entidad pública, ponte en contacto directamente con ellos antes de responder al correo sospechoso.
5.- No hagas click en los enlaces incluidos en un correo sospechoso. Si lo haces, ten en cuenta que aunque en apariencia la página de destino sea igual a la de la empresa o administración que dice representar, puede ser un "clon" fraudulento diseñado con el único objetivo de robar tus datos.
6.- Nunca descargues archivos adjuntos incluidos en el mensaje sospechoso. Pueden contener 'malware', esto es, código malicioso que se instalará en tu dispositivo (ordenador, tableta o teléfono móvil) para robar datos o "secuestrarlo".
7.- Finalmente, asegúrate de eliminar el mensaje sospechoso y marcar la dirección de correo que lo envía como spam.
¿Qué es el smishing?
Es una variante del phishing. En esta modalidad, los ciberdelicuentes simulan ser un banco, una entidad oficial o alguna otra empresa proveedora de servicios para contactar con sus potenciales víctimas no por email, sino a través de mensajes de texto (sms) enviados a los teléfonos móviles.
Con estos mensajes, los delincuentes intentan que los usuarios accedan a una página fraudulenta, llamen a un determinado número de teléfono con costes adicionales o realicen alguna otra acción. Como en el caso anterior, al ingresar a estas webs pretenden obtener contraseñas del usuario, datos bancarios, vender productos o servicios inexistentes o infectar los dispositivos móviles.
Estas son las recomendaciones de la Oficina de Seguridad del Internauta para protegerte del smishing:
1.- Nunca proveas datos de tus cuentas bancarias o tarjetas de crédito a través de mensajes de texto ni llamadas telefónicas.
2.- En caso de que recibas mensajes de este tipo, comunícate inmediatamente con tu banco.
3.- Si recibes un SMS de un número desconocido conteniendo un enlace… ¡no accedas! Puede ser una web fraudulenta que quiere robar tus datos.
4.- Desconfía de los mensajes que mencionan premios en sorteos en los que no has participado o la recepción de paquetes que no hayas adquirido.
5.- Controla el consumo de tu línea telefónica y tu paquete de datos. Si detectas alguna irregularidad, contacta inmediatamente con tu compañía telefónica.
¿Qué es el vishing?
El término vishing viene de la unión de las palabras “voice” (voz) y “phishing” (robo de datos), ambas en inglés. Los ciberestafadores llaman a sus potenciales víctimas por teléfono y solicitan información personal, de sus cuentas bancarias o algún otro dato de seguridad. A veces, hasta piden transferencias de dinero.
Ten en cuenta que tu banco nunca te pedirá, por teléfono, información confidencial o sensible como claves o números de tarjeta de crédito. Por eso, nunca compartas este tipo de información (como PIN o claves de transferencias) por internet.
Consejos para estar prevenido:
1.- Desconfía de las llamadas telefónicas no solicitadas.
2.- Anota el número desde el cual te llaman y di que les devolverás la llamada, pero no des ningún tipo de información.
3.- Para confirmar la identidad de la persona, busca el teléfono de la empresa desde la cual, supuestamente, te han contactado.
4.- Por más de que los ciberestafadores sepan tu nombre o lugar de trabajo… ¡no te fíes! Pueden haber obtenido la información en internet o en tus perfiles de redes sociales.
5.- Si crees que es una llamada falsa, comunícaselo de manera inmediata a tu banco o a la empresa que digan representar.
He sido víctima de un fraude electrónico… ¿ahora qué hago?
1.- Ponte inmediatamente con la empresa o administración relacionada con los datos que te han sustraído para que puedan tomar medidas.
2.-Si afecta a contraseñas, cámbialas inmediatamente por otras nuevas. Aquí tienes algunos consejos para elegir una contraseña robusta.
3.- El Instituto Nacional de Ciberseguridad, a través del Centro de Respuestas a Incidentes de Seguridad, pone a disposición de la ciudadanía un buzón para reportar casos de phishing y todo tipo de fraudes electrónicos. Escríbeles a incidencias@incibe-cert.es, ayudarás a prevenir nuevas víctimas de ese fraude.