Ya vimos en alguna otra entrada del blog los principales peligros a los que estamos sometidos al navegar por Internet. Uno de los principales es el phishing, que es uno de los métodos más utilizados por los ciberdelincuentes para estafar y obtener información confidencial de forma fraudulenta, como puede ser información bancaria o una contraseña. El ataque se realiza normalmente mediante un correo electrónico, que tiene la apariencia de proceder de fuentes de confianza (como un banco, por ejemplo), pero que en realidad buscan manipular al receptor para robar información confidencial.
Vamos a enumerar una serie de indicadores que nos pueden servir para identificar un correo falso. Ninguno de ellos es infalible ni definitivo, pero pueden ser útiles para protegernos de mails fraudulentos o de phishing.
1/ Es raro que las empresas (bancos, empresas de telecomunicaciones…) nos pidan datos personales a través del correo electrónico. La mera recepción de dichos mails ya nos tiene que hacer desconfiar, y debemos ponernos en guardia.
2/ La verificación más básica que se puede hacer es que el dominio del correo electrónico (lo que viene después del símbolo @) corresponda a la empresa que en teoría está enviando el correo. Debe ser un dominio que no deje lugar a dudas que es legítimo. A veces los estafadores hacen falsificaciones que te pueden hacer dudar, por ejemplo, un email supuestamente enviado por PayPal es notice@ppal.com, donde ppal.com pudiera sonar a que es parte de PayPal, pero no lo es.
3/ Normalmente estos mensajes de correo electrónico presentan errores gramaticales, faltas de ortografía o palabras cambiadas.
4/ Al ser mensajes enviados a muchos destinatarios, el correo no está personalizado con el nombre del destinatario, de ahí que su saludo sea algo similar a “Estimado cliente”. Una compañía u organismo legítimo casi siempre enviará correos electrónicos dirigidos a tu nombre.
5/ Estos mails suelen tratar sobre los siguientes temas: problemas de facturación, solicitudes de las autoridades, alertas del banco, comunicaciones de premios, oportunidades de negocios urgentes…
6/ Archivos adjuntos: si una empresa u organismo te envía un documento, el formato normalmente será un PDF. Se debe tener especial cuidado con imágenes. Como regla, si el archivo está en formato HTML, EXE, o algún formato que haga que el sistema operativo te pida permiso para ejecutarlo, es casi seguro que se trata de malware o phishing.
7/ A los phishers o ciberdelincuentes les gusta jugar con la urgencia, y este tipo de correos estarán redactados de tal forma que te den sentido de urgencia a hacer clic en alguno de los enlaces o imágenes que te ofrecen. Utilizarán frases como “tu cuenta debe ser actualizada”, “tu cuenta está a punto de ser eliminada”, “se detectó actividad sospechosa en tu cuenta” …. No hay que creerse las amenazas, y hay que intentar conservar la calma. Ninguna entidad legítima, ni gubernamental, ni empresarial ni de ninguna clase, le dará una única y urgentísima posibilidad para responder o hacer lo requerido.
8/ Algunas direcciones son engañosas, por lo que antes de hacer clic en un enlace, es conveniente pasar el ratón por encima de éste (sin hacer clic). Esto hace en casi todos los clientes de correo que aparezca la dirección o URL de la página web a la que va el enlace. Si esta dirección no corresponde a la empresa u organismo que supuestamente envía el correo, es un fraude.
9/ Si se le pide que proporcione información confidencial, compruebe que la URL de la página a la que lleva el enlace comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers. Para mayor seguridad, en las páginas web seguras también suele aparecer en la barra de direcciones un símbolo de un candado cerrado.
10/ Cuenta equivocada: si tienes varias cuentas de correo, y el mail te ha llegado a una dirección que no has proporcionado a la compañía u organismo que supuestamente te manda el correo electrónico, puedes sospechar que se trata de un intento de fraude.
Por lo tanto, y como medida de precaución básica, si has recibido un correo del que tengas cualquier tipo de sospecha, no lo dudes y envíalo directamente a la carpeta de correo no deseado. Tu cliente de correo (Gmail, Outlook, …) se encargará de apartar todos los futuros correos que te pueda enviar el remitente de dicho mensaje, y los eliminará después de un tiempo.
Aunque este tipo de phishing por correo electrónico es el más común, existen también otros tipos:
Phishing por sitio web: son copias falsas de sitios web que conoces y en los que confías. Los hackers crean estos sitios para engañar a los usuarios y hacer que introduzcan sus credenciales de inicio de sesión, para a continuación conectarse a sus cuentas. También se puede hacer a través de ventanas emergentes.
Vishing o voice phishing (phishing de voz): el atacante intenta convencer por teléfono a las víctimas para que les proporcionen información personal que les pueda servir para suplantarles la identidad.
Smishing: se trata de phishing mediante SMS. La víctima recibe un mensaje de texto donde se le pide que haga clic en un enlace o que descargue una aplicación. Al hacerlo, se puede descargar en tu teléfono móvil un malware que puede captar tu información personal.
Phishing por redes sociales: a través de la creación de perfiles falsos tratan de engañar a sus víctimas.
Esperamos que, siguiendo estos consejos y siendo un poco precavidos, podamos evitar que los ciberdelincuentes se salgan con la suya, y que no consigan suplantar nuestra identidad y robar nuestros datos personales. Si esto no es posible, por lo menos espero que se lo pongamos cada vez más difícil, para que con el tiempo consigamos acabar por fin con este tipo de prácticas delictivas.