Cada día existen más ciberdelicuentes y nos encontramos con numerosos intentos de estafas a través de mensajes de correo electrónico, mensajes de texto o páginas web falsas. Según el Internet Crime Complaint Center del FBI, se han llegado a registrar pérdidas de hasta 30 millones de dólares en tan sólo un año por culpa del phishing.
Por eso, es muy importante ser hábil y tener unos conocimientos mínimos para reconocer estos intentos de phishing y de suplantación de identidad de personas o entidades, para robar contraseñas, números de cuenta personales o cualquier dato que puedan utilizar para acceder a información privada.
La crisis por el Covid-19 o coronavirus, llevó al Gobierno a implementar medidas drásticas como el confinamiento de la sociedad, lo cual ha aumentado notablemente el uso del Internet a través del teléfono móvil, ordenador, tablet, etc., dando lugar al fenómeno de la ‘doble pantalla‘ del que hablamos en nuestro último post.
Además, muchas empresas se han visto obligadas a implementar estrategias de teletrabajo y, en muchas ocasiones, los dispositivos personales de los empleados no están protegidos de este tipo de actividades, poniendo en riesgo la seguridad de los datos sensibles, tanto del trabajador como de la empresa.
Tabla de contenidos
Ataques de phishing a través de la Agencia Tributaria
Una de las últimas noticias, son los intentos de suplantación de identidad de la Agencia Tributaria de España, a través de envíos de comunicaciones por e-mail, utilizando la crisis por coronavirus como engaño para hacerle creer al receptor que su empresa puede salir perjudicada si no hace una serie de acciones o que necesitan cierta información para hacer un reembolso de impuestos o devolución de la renta.
Ejemplo de correo electrónico enviado haciéndose pasar por la Agencia Tributaria.
En muchas ocasiones, sólo necesitan que el usuario haga click en un enlace para acceder a una página o que rellene un formulario con sus datos de cuentas bancarias.
Por desgracia, este tipo de fraude es muy común y constantemente muchas personas caen en estos engaños, derivando en una pérdida de dinero notable. Por ello, es muy importante conocer qué tipos de engaños existen y ser precavidos antes de facilitar cualquier dato o de acceder a cualquier página.
¿Qué es el phishing?
El phishing es un ciberataque o método de engaño con el que el delincuente consigue que las personas compartan información confidencial.
La táctica de phishing más común es la de enviar un e-mail o mensaje suplantando la identidad de una organización o una persona reconocida, con un contenido que infunde miedo al receptor con consecuencias negativas o positivas, incitando a realizar una acción inmediata poco premeditada.
Las acciones más comunes son la de acceder a un sitio web que es similar al conocido por el usuario, intentando que este rellene sus datos o credenciales para acceder a su información personal.
Uno de los principales problemas es que este tipo de ataque no requiere de conocimientos previos muy técnicos, por lo que es una forma sencilla y efectiva para muchos ciberdelincuentes inexpertos.
Aunque pueda parecer poco eficiente, para muchos atacantes es más fácil engañar a una persona que a un programa o dispositivo electrónico, por eso es muy importante que conozcamos los métodos de reconocimiento de engaño o phishing que os detallamos a continuación.
¿Cómo reconocer un intento de phishing por correo electrónico?
Como ya os hemos comentado, el phishing no requiere de mucha habilidad, si no que se trata de un método de engaño sencillo y eficaz que únicamente necesita seducir al lector a través de mentiras convincentes.
1. Revisar si el correo es seguro
En muchas ocasiones, la propia plataforma nos envía un aviso de que el mensaje es peligroso, ante un correo entrante o un contenido que no es fiable. El dispositivo o la plataforma realiza un análisis del mensaje, en base a otros que usan contenido similar y muestra si ha pasado sus filtros de confianza para evitar este tipo de engaños.
Aquí os dejamos un ejemplo del mensaje que indica que un correo no es seguro:
2. Analizar el dominio desde el que recibimos el correo
Antes de hacer click en cualquier enlace, es importante que revisemos desde que e-mail hemos recibido el mensaje. El dominio del emisor suele pertenecer a páginas inexistentes o sospechosas, si se trata de un intento de phishing. Muchas veces con este método de prevención ya reconoceríamos que el dominio no es de confianza y no es común.
En el siguiente ejemplo de un mensaje que suplanta la identidad de la Agencia Tributaria, vemos que el correo procede de un dominio llamado «medidastributaria.es», que no es común ni pertenece a la Agencia Tributaria.
Si tenemos dudas, siempre podemos consultar en Internet. Existen muchas páginas web que muestran otros casos de intentos de engaño similares y podemos deducir a partir de ahí que el mensaje que nos ha llegado no es fiable.
3. No rellenes formularios ni envíes información personal
La mayoría de las empresas no reclamarán datos personales por correos electrónicos, así que la mejor medida es no compartir contraseñas ni nombres personales por correo si la página web o el correo no nos transmite confianza para hacerlo.
4. Analiza el mensaje del correo electrónico
Muchos bancos u organizaciones legitimas utilizarán un saludo personal con tu nombre, en vez de apelar a nombres genéricos o reclamar con urgencia acciones inmediatas.
Por otro lado, en estos correos es común encontrar errores ortográficos, que pueden dictaminar que el contenido es sospechoso, o falta de detalles como formas de contactar con la empresa o firmas que no parecen reales.
5. No descargues ningún archivo ni hagas click en ningún enlace
Los intentos de phishing suelen incluir archivos descargables, con el que te introducen un virus en el dispositivo, o intentan que el usuario presione en un enlace que le deriva a una página web sospechosa.
Es muy importante que antes de hacer ninguna acción en un correo electrónico que recibas, revises lo pasos anteriores y analices todo el contenido para asegurarte de que el correo es legitimo y puedes confiar en él.
En estos momentos dónde la seguridad esta viéndose comprometida en muchas empresas, por culpa de la falta de preparación y de recursos estratégicos ante una situación inesperada que obliga a los empleados a teletrabajar con dispositivos personales es importante que tengas en cuenta estos consejos para evitar intentos de fraude o ataques de phishing en tus datos.
