Phishing

Información dirigida a todos los usuarios con el objetivo de crear conciencia sobre el phishing.

¿Qué es el phishing?

El "phishing" es una técnica de engaño más utilizada por ciberdelincuentes para obtener información personal y bancaria de los usuarios. Se trata, básicamente, de una técnica de suplantación de identidad.

El "phishing" consiste en el envío de mensajes SMS ("smishing") o de correos electrónicos ("phishing") en los que los remitentes se hacen pasar por una entidad o un servicio de reconocida reputación o muy conocidos por los usuarios, como puede ser un banco, una red social, una entidad o institución pública, etc.,  haciendo creer a los usuarios que por alguna razón de peso o algún motivo muy urgente tienen que realizar una acción, como abrir un documento adjunto o abrir un enlace, que redirigen al usuario a una página cuyo aspecto es muy parecido o similar a la legítima. Una vez dentro de la página fraudulenta, se le solicita al usuario algún dato, como, por ejemplo, nombre y apellidos, dirección de correo electrónico, número de identidad personal, confirmación del número de tarjeta de crédito, etc., que pone en peligro todos sus datos personales.

Aunque el correo electrónico y el SMS son los medios más habituales de difusión de ataques de "phishing", las redes sociales también contribuyen a la creación de perfiles y páginas falsas para la realización de ese tipo de estafas. Además, los usuarios deben elevar la precaución cuando reciben llamadas telefónicas, tanto a teléfonos móviles como a fijos, donde se les pide algún dato personal para la falsa "comprobación" de su identidad o de su perfil.

"Email spoofing" es un término que alude a una técnica de suplantación de identidad muy común, especialmente a través del correo electrónico, aunque existen otras modalidades.

El "phishing" es una amenaza que afecta a todos los dispositivos por igual, ya sea una tableta, un ordenador, un teléfono fijo o un móvil, y sea cual sea el sistema operativo.

El sentido común es la mejor herramienta que tienes para evitar picar el anzuelo, aunque también es importante no descuidar los principios básicos de seguridad para protegerte de amenazas externas: configura correctamente la privacidad de tus dispositivos, establece conexiones seguras, gestiona tus contraseñas, sé precavido con tu actividad online.

¿Cómo identificar el phishing?

El ataque de "phishing" suele llegar a través de un mensaje o correo electrónico. Lo más seguro es identificarlo en este paso. Por esta razón, es importante seguir una serie de consejos sencillos y de sentido común para evitar que tu seguridad se vea comprometida:

Sin embargo, recuerda que la comprobación del remitente no es el único indicador que ayuda a identificar el fraude. Cada vez hay más ataques de "phishing" en los que el correo ha sido suplantado debido al "email spoofing". Se trata de una técnica fraudulenta en la que el atacante ha cambiado la dirección del remitente y el asunto para conseguir que parezca una comunicación real. Es decir, un tercero (el atacante), realiza una suplantación de identidad y se hace pasar por alguien en quien nosotros podemos confiar para obtener algún beneficio mediante un segundo fraude introduciendo comandos en las cabeceras del correo para alterar la información que luego nos aparecerá en el mensaje.

En esta página de la Oficina de Seguridad del Internauta (OSI) puedes encontrar la información detallada con pautas para identificar un "email spoofing" en función del gestor de correos que usas.

Hay ataques de "phishing" en los que el correo ha sido suplantado mediante "email spoofing",  una técnica fraudulenta donde el atacante consigue enmascarar la dirección del remitente y el asunto para que parezca una comunicación real. La Oficina de Seguridad del Internauta (OSI) da pautas para identificar un "email spoofing" en función del gestor de correos que el usuario utiliza.

Esta es la regla universal: si tienes dudas de lo que estás haciendo o de la identidad de la persona o del organismo que te manda el email, ¡no hagas clic!

Cómo actuar si detectas un "phishing"
  1.  No facilites la información que te piden ni nunca contestes a estos mensajes.
  2. Contacta con la empresa, entidad o servicio que supuestamente te manda el correo electrónico o el mensaje sospechoso a través de sus canales oficiales y comprueba la veracidad del mensaje con ellos. Tu llamada pondrá la entidad en alerta y podrá actuar para evitar los fraudes.
  3. Nunca abras los enlaces que contiene el mensaje ni descargues ningún documento adjunto ya que podría contener un código malicioso.
  4. Inmediatamente, elimina el mensaje.
  5. Si es posible, alerta a tus contactos sobre el fraude para que ellos tampoco caigan en la trampa.

Si ya has sido víctima de un ataque de "phishing", consulta la información sobre cómo actuar en este caso.

Qué hacer si he sufrido un ataque de phishing

Si descubres que has sido objeto de un ciberataque de "phishing" en un lapso relativamente corto de tiempo, puedes intentar minimizar el daño accediendo a tu cuenta (si es posible) para expulsar al "hacker" de la misma: cambia la contraseña y comprueba si el atacante ha cambiado cualquier configuración de tu cuenta para asegurarse de seguir teniendo acceso a la misma en caso de que modificaras la contraseña. Revisa, por ejemplo, si ha indicado una dirección secundaria de recuperación de contraseña, reenvío de "emails" a otra dirección, etc.

La Oficina de Seguridad del Internauta recomienda:

  1. Contacta con el servicio o entidad implicada: si el fraude proviene de una supuesta entidad legítima es conveniente avisarles para que estén al corriente de que su identidad está siendo suplantada y puedan enviar un comunicado avisando del fraude para evitar más víctimas. Por ejemplo, si has facilitado tus datos bancarios (número de tarjeta, PIN, CVV, etc.), debes contactar con tu banco de manera urgente y explicar lo sucedido para que tomen las medidas necesarias para mitigar al máximo las posibles consecuencias del "phishing".
  2. Solicita ayuda a INCIBE (Instituto Nacional de Ciberseguridad) a través de sus canales de "Tu ayuda en ciberseguridad", servicio nacional, gratuito y confidencial:
    • teléfono 017
    • WhatsApp 900 116 117
    • Telegram @INCIBE017
    • Formulario web
  3. Acude a la Oficina Municipal de Atención al Consumidor (OMIC): es un servicio que informa, ayuda y orienta a los consumidores. Entre sus funciones está la tramitación, mediante procedimientos de conciliación, de las reclamaciones que los consumidores les hacen llegar derivados de problemas en compras de productos o la contratación de servicios.
  4. Denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado si el problema no se puede solucionar mediante los pasos anteriores expuestos:
  5. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos si consideras que el fraude representa una infracción de la Ley Orgánica de protección de datos personales y garantía de los derechos digitales.

Consejos para evitar el phishing

 

Infografía-phishing-horizontal_reducida.png