Cómo identificar el phishing o emails fraudulentos

Es posible que te haya ocurrido alguna vez: estás consultando tu correo cuando llega un email que parece urgente y que llama tu atención con un titular alarmante: ‘confirmar la cancelación de su transferencia’. Aparentemente procede de una entidad financiera y comienza con una advertencia. “Hola, nuestro sistema ha detectado transferencias fraudulentas y puede causarle graves riesgos”. También te dicen que puedes arreglarlo pinchando en un enlace e iniciando sesión con las claves de tu cuenta bancaria para anular dicha operación.

Este es un ejemplo real de phishing o suplantación de identidad para engañar a quien lo recibe y robar datos confidenciales, como contraseñas, números de cuenta, claves de firma... Para ello, quien dirige el ataque crea mensajes de correo que enlazan con una página web falsa, con el mismo aspecto y logotipos que la entidad real desde la que poder realizar transferencias fraudulentas y llevar a cabo una ciberestafa.

Identificar el phising: gran variedad de fraudes

Los emails falsos y las páginas clonadas cada vez son más difíciles de detectar. Por un lado, han mejorado en redacción y diseño y por otro, han ganado en sofisticación. Hoy día es posible que, tras obtener tus datos, te dirijan hasta una web auténtica de la entidad bancaria por la que se estén haciendo pasar para conseguir mayor credibilidad y no levantar sospechas.

Pero los emails fraudulentos no solo se hacen pasar por cajas o bancos, el ‘anzuelo’ para hacernos picar puede provenir en apariencia de organismos oficiales (Hacienda, ONLAE…), pasarelas de pago online (PayPal, Mastercard, Visa...), páginas de compraventa o subastas (Amazon, eBay…), redes sociales (Facebook, Twitter, Infojobs, LinkedIn...), atractivos anuncios de ofertas comerciales y juegos online. El phishing también puede llegarnos a través de Google, con un correo falso que solicita tu cuenta y contraseña.

De hecho, el correo electrónico suele ser el principal objetivo de la mayoría de los hackers, porque es uno de los elementos más vulnerables de nuestra actividad en internet. Hasta puede ocurrir que el engaño venga disfrazado de un mail de una persona con la que tenemos relación comercial, cuya cuenta de correo haya sido hackeada, es decir, alguien se haya hecho con las claves de esa cuenta y que no es, en realidad, quien nos pide, por ejemplo, que ejecutemos el pago de un pedido.

Ejemplos para identificar el phishing

Veamos algunos consejos para identificar este tipo de mensajes que utilizan la técnica del phishing y para saber qué hacer si recibimos uno y dudamos de su autenticidad:

• Desconfía: las entidades bancarias nunca solicitan datos vía email. Borra cualquier mensaje en el que se te pidan tus datos, a la papelera directamente. Y recuerda que en LABORAL Kutxa siempre puedes modificar cualquier dato en la Banca Online, mediante cajero automático o en cualquiera de nuestras oficinas.
• NO respondas a ningún correo que solicite información personal o financiera.
• Aunque se trate de tu caja o banco, NO facilites contraseña, número de tarjeta, fecha de caducidad, claves, ni teléfono, y contacta inmediatamente de la manera habitual con tu entidad. Si eres de LABORAL Kutxa, no dudes en pedirnos ayuda urgente.
• NO caigas en la tentación de pinchar en el enlace, podría tratarse de un link de descarga de código malicioso o en todo caso de pharming. Este ciberdelito consiste en suplantar el nombre de dominio de una web legal para redireccionar a la víctima a una página web falsa.
• Reenvía el correo para NOTIFICAR su circulación a la Oficina de Seguridad del Internauta (incidencias@incibe-cert.es).
• Si has cometido el error de clicar en el enlace, NO descargues ficheros adjuntos, podría tratarse de un programa para robar tus datos (contactos, contraseñas…). En cualquier caso, mantén siempre actualizado el sistema operativo y el antivirus.
• Uno de los detalles que te ayudarán a saber si has entrado en la auténtica página de tu entidad bancaria es el certificado de seguridad SSL (Secure Sockets Layer). La dirección web ha de empezar por https:// y mostrar un candadito en la barra de navegación que garantiza a las personas usuarias de una página que se encuentran en un sitio seguro y que su comunicación se realiza de manera cifrada con la verdadera web de la entidad que representa.
• Si el mal está hecho porque has proporcionado tus datos a través de un formulario falso (la excusa puede ser desde abonarte un premio falso de lotería, realizar una devolución de hacienda o solicitar tu colaboración para ayudar a una causa humanitaria), no dudes en denunciar el fraude.
• Dadas las circunstancias, tampoco está de más que cambies inmediatamente claves, usando cualquiera de los canales que te indicamos al principio.

Por último, independientemente de hayas sido diana de delincuentes que se valen del phishing, ten en cuenta estas recomendaciones antes de operar con tu entidad bancaria:

• Cierra todas las aplicaciones antes de acceder a la web del banco.
• No accedas a tu entidad a través de enlaces de páginas o mensajes de correo. Escribe la dirección en el navegador.
• No accedas desde ordenadores públicos, no confiables o mediante una conexión a redes wifi públicas.
• Revisa periódicamente tus cuentas para detectar transacciones irregulares.
• Si dispones de DNI electrónico, accede a tus cuentas con él.

¿Preguntas? ¿Dudas? Consulta nuestro portal de seguridad o pregúntanos lo que quieras. En LABORAL Kutxa tu seguridad es la clave de todas nuestras operaciones.