¿Qué es el phising?
Phishing es un delito informático que consiste en engañar a las personas para que compartan información confidencial como contraseñas, números de tarjetas de crédito, realicen transferencias, etc. Por tanto, phising no deja de ser una suplantación de la identidad.
El phishing normalmente no requiere conocimientos técnicos avanzados, se basa en engañar a la mente humana.
Un ejemplo reciente de phising es el caso de la farmacéutica Zenda, en O Porriño. El jefe financiero realizó transferencias a una cuenta por valor de más de 9 millones de euros creyendo que lo hacia por orden de su superior a la consultora KPMG. Cuando en realidad un ciberdelincuente había suplantado la identidad de KPMG falsificando su correo electrónico.
Tipos de ataques de phising
Existen muchos tipos de ataques phising pero el denominador común de todos ellos es el engaño de la mente suplantando la identidad de una organización. Algunos tipos de ataques phising son:
Spear phising: es una estafa informática de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas.
Phising clonación: es una estafa informática donde los ciberdelincuentes hacen una copia de correos electrónicos legítimos enviados anteriormente que contienen un enlace. El ciberdelincuente sustituye los enlaces con malware. El usuario hace click en el enlace con lo que conlleva a tomar el control de su ordenador. Finalmente, el ciberdelincuente suplanta la identidad de la victima para pasar de confianza ante otras victimas.
Estafas nigenierias: la victima recibe un extenso correo electrónico de alguien que afirmaba ser un príncipe nigeriano. Está estafa es una de las estafas informáticas más antiguas. El phishing del príncipe nigeriano procede de un ciberdelincuente que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria. El correo electrónico solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro.
Phising telefónico: el ciberdelincuente llama afirmando representar a su banco local, la agencia tributaria o incluso la policía. A continuación, asustan la victima con algún tipo de problema e les insisten en que lo solucione facilitando su información de cuenta, pagando multas, etc.
Phising SMS: el ciberdelincuente manda un SMS con la misma identificación/número de teléfono de su entidad bancaría u organización. En dicho SMS se mete miedo a la victima. A veces, se usa conjuntamente con el phising telefónico o enlazan con una web suplantada de la entidad bancaria.
¿Cómo se detecta un ataque de phising?
Detectar un ataque de phising algunas veces no es sencillo. A continuación, se darán algunas pistas para detectarlos:
- Contenido alarmista: Tiene un lenguaje para crear un sentido de urgencia, instándole a que haga clic y actuar ya, antes de se bloque su tarjeta, elimine su cuenta, etc. Recuerde, las organizaciones responsables no solicitan detalles personales a través de Internet.
- Reconoce al remitente, pero es alguien con quien no trata normalmente y encima lo que le pide no tiene nada que ver con las responsabilidades laborales que normalmente tiene.
- Mensaje con archivos con nombres extraños. Estos archivos pueden contener cualquier tipo de malware.
- Mensaje con enlaces que son raros. Ante la duda, pase por encima y verá si coincide lo que pone con donde le envía. Y si sigue con dudas, teclee el enlace en el explorador. Si el enlace tiene un enlace parecido a la organización, pero no es el mismo consulte con alguien con experiencia para que no le engañen.
¿Cómo pueden evitarse los ataques por phising?
Para protegerse los ataques por phising se recomienda lo siente:
- Fórmese usted y sus empleados
- Use su cerebro y la lógica antes de actuar.
- No abra mensajes (correo-e, SMS, WhatsApp, etc.) de remitentes que no le sean conocidos.
- No haga clic en un enlace dentro de un mensaje (correo-e, SMS, WhatsApp, etc.) a menos que sepa exactamente que a dónde le lleva. Si le pide que proporcione la web información compruebe que la URL es la que accede normalmente. Si no es así, llame usted por teléfono a la organización para confirmarlo (no sé fie si le llaman, aunque tenga un número igual que el de la organización).
Pase por el cursor del ratón por encima del enlace para ver si se corresponde con el que dice que es.
¿Cómo actuar si eres estafado?
Si sufre una estafa le recomendamos lo siguiente:
- Comunique inmediatamente lo sucedido a la organización que han suplantado para que esté al tanto y cambie las claves o bloquee temporalmente su cuenta para protegerle
- Guardar todas las pruebas electrónicas, pero nunca formatee los dispositivos afectados
- Haga denuncia en la Guardia Civil,
- Contacte con un abogado especializado en delitos telemáticos.
- Contacte con un perito informático y de telecomunicaciones (perito telemático). Dicho perito dependiendo del caso le puede por ejemplo demostrar que su dispositivo móvil esta bien y que la estafa ha sido por una negligencia de la entidad y así ayudará a su abogado en la defensa para recuperar el dinero estafado.
