PUBLICIDAD
Cada año se multiplica el número de ataques diarios de 'Phishing', con lo que se ha convertido en una de las estafas más comunes de internet. Quienes llevan a cabo esta estafa obtienen información confidencial como contraseñas bancarias o información de tarjetas de crédito, pero, ...
¿Qué es el Phishing?
El phishing es una técnica de ciberdelincuencia basada en la ingeniería social, es decir, su éxito se basa en la confianza que tienes en la empresa o institución que está siendo suplantado, en la cual los atacantes suplantan a entidades legítimas (bancos, empresas, conocidos) a través de correos, SMS o llamadas para engañar a las víctimas. Su objetivo es robar contraseñas, datos bancarios, dinero o instalar malware, creando una falsa sensación de urgencia.
Como ya he comentado, en ocasiones, el phishing también se usa para infectar los dispositivos con algún tipo de malware (programa malicioso).
Se efectúa, normalmente, mediante el envío masivo de mensajes falsos (email, SMS, redes sociales) que simulan comunicaciones oficiales, como alertas de seguridad o actualizaciones de cuenta, y que contienen enlaces que nos dirigen a webs fraudulentas (idénticas a las reales) o archivos adjuntos infectados, con el objetivo de obtener información confidencial (contraseñas, tarjetas de crédito) o dinero.
Tradicionalmente el 'phishing' ha usado del envío de correos electrónicos masivos, pero esta teniendo auge el Smishing, que es un tipo de phishing que hace uso de mensajes SMS o aplicaciones de mensajería como WhatsApp, así como el Vishing:, phishing por voz o llamadas telefónicas fraudulentas. Aunque normalmente se realiza de forma masiva, también se debe considerar el Spear Phishing, que es un ataque personalizado a un individuo o empresa específica.
Como evitar ser estafados mediante Phishing.-
Para evitar ser estafados mediante un mensaje recibido o llamada, debemos:
- Verificar el remitente, es decir, revisar si la dirección de correo electrónico parece sospechosa o no coincide con la oficial (por ejemplo, si recibes un correo en nombre de una empresa, y el domino del correo no incluye el nombre de dicha empresa, el correo es sospechoso. De la misma forma que también lo es si el correo que te llega está utilizando un servicio de correo gratuito como Gmail, Outlook, Yahoo!, etc.
- Antes de pulsar sobre un enlace, fíjate en la dirección a la que te redirige este. La intención de los delincuentes es que pulses sobre un enlace para llevarte a una página web fraudulenta en lugar de a la página legítima. Por tanto, es importante comprobar que el enlace es fiable. Para ello, puedes situar el puntero del ratón encima del botón o del enlace y observar la dirección que se muestra en la parte inferior izquierda del navegador o de tu programa de correo. Si lo que ves es sospechoso, ¡no pulses sobre el enlace!
- No descargues ficheros sin fijarte en la extensión. Si el mensaje que recibes te invita a descargar un fichero que, curiosamente, tiene más de una extensión, algo como: 'nombredelfichero.doc.zip', o se trata de un fichero comprimido (.zip) o un ejecutable (.exe), no se te ocurra descargarlo o es más que probable que tu dispositivo acaben infectado. En cualquier caso, si confías en la fuente y optas por la descarga del fichero, analízalo siempre con un antivirus antes de abrirlo y ejecutarlo.
- Fíjate en la redacción y ortografía, pues cualquier empresa real se asegurará de que tanto la estructura y diseño del correo como su contenido sea correcto, ya que la imagen que se trasmite a los usuarios es un aspecto muy importante para cualquier servicio que se precie.
Los ciberdelincuentes suelen ser extranjeros, por lo que usan aplicaciones como 'Google Translate', o bien, cometen fallos predeterminados de redacción y ortografía, a fin de llegar a la gente de menor nivel cultural, a los que se les supone ser más fáciles de estafar.
Tengamos en cuenta que esto no es excluyente, así que si te encuentras un mensaje sospechoso con una perfecta redacción, asegúrate de haber verificado el resto de pistas antes de darlo por bueno. - Un mensaje de phishing está poco o nada personalizado. Comunicaciones anónimas del tipo 'Estimado cliente', 'Notificación a usuario' o 'Querido amigo', son indicios que te deben poner alerta. Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado que pueda saber el nombre de todas ellas. Por eso utilizan fórmulas genéricas como las mencionadas.
- Debemos activar la autenticación de doble factor para acceder a todas nuestras cuentas.
- Recuerda que las prisas no son buenas consejeras. Desconfía de los correos o mensajes que te urgen a realizar una acción. Sospecha de mensajes muy llamativos o que exigen una acción inmediata (por ejemplo, 'Tienes una alerta de seguridad ...', 'Tu cuenta va a ser eliminada ...', 'Tu paquete no se te ha podido entregar ...', etc.)
PUBLICIDAD
En el siguiente vídeo se trata sobre el 'Phishing'. Se te muestra cómo defenderte de una de las técnicas más usadas por los ciberdelincuentes para estafar a los usuarios en el entorno digital. Descubre cómo evitar ser estafado en Internet.
Existen múltiples variantes del 'phishing'. Veamos cada una de ellas. Primero veamos la que se denomina 'Smishing'.
¿Qué es el 'smishing'?
El 'smishing' es un tipo de 'phishing' en que se usan falsos mensajes de SMS en lugar de correos electrónicos como es el caso del 'phishing'.
El objetivo que persiguen los ciberdelincuentes es el mismo que en el 'phishing', esto es, obtener credenciales bancarias, datos personales, dinero o bien instalar malware en el dispositivo.
¿Cómo se realiza este ataque?
Los ciberdelincuentes, suplantando la identidad de una persona y organización de confianza, envían mensajes a través de aplicaciones de mensajería instantánea o por SMS, comunicando, por ejemplo, un cargo no autorizado, una operación fraudulenta, un acceso no permitido o, incluso, la necesidad de una autenticación o mejoras de seguridad. El objetivo de estos mensajes es alarmar al usuario para que realice alguna acción sin pensarlo demasiado.
La comunicación puede inducir al usuario a que llame a un determinado número de teléfono para realizar la gestión, donde se solicitarán los datos que necesita el atacante; o a que haga clic en un link que le redirigirá a una página web maliciosa, donde se le pedirá que introduzca sus credenciales de la banca electrónica (usuario y contraseña) u otros datos sensibles.
Tipos de fraude a través de SMS más comunes.-
Spoofing1El Spoofing es una técnica de ciberataque que consiste en suplantar la identidad de una fuente legítima (como una persona, empresa o sistema) para engañar a víctimas y obtener información confidencial, instalar malware o realizar fraudes, haciéndose pasar por alguien confiable, a menudo a través de correos electrónicos, llamadas o sitios web falsos. a través de SMS.
Los ciberdelincuentes han perfeccionado y mejorado el Smishing para hacerlo aún más creíble y difícil de detectar con lo que se conoce como Spoofing a través del envío SMS.
En este ataque los estafadores van un paso más allá consiguiendo que parezca que los mensajes se reciben en nombre del propio banco, logrando 'colarse' incluso en nuestro hilo de mensajes legítimo con la entidad, utilizando para ello servicios que modifican el remitente real. Por ello, desconfía siempre de mensajes que te soliciten información personal o bancaria y ponte en contacto con la entidad mediante canales oficiales para confirmar la veracidad del mensaje, así como para reportar a la entidad la suplantación.
Fraude con redirección de llamada.
Existe una modalidad de fraude por SMS que, valiéndose de un asunto de seguridad, los ciberdelincuentes instan al usuario a introducir un código en el teléfono con el que estaría configurando una redirección de llamadas. El número del supuesto código será el que reciba las llamadas dirigidas a los usuarios.
NOTA MUY IMPORTANTE: Evita introducir códigos en el móvil sin verificar su origen. En particular quiero hacer hincapié en el código '*21*' que permite redireccionar cualquier llamada al número que se indique a continuación.
El código '*21*' solo debe usarse en configuraciones personales legítimas, nunca bajo indicaciones de terceros.
Las consecuencias de este tipo de fraude implican que, la autorización de algunas operaciones financieras, como, por ejemplo, una autorización de transferencias, sean realmente confirmadas por el atacante, y no por una persona verdaderamente autorizada, suponiendo importantes pérdidas económicas para el cliente.
Estafa 'Bizum Inverso'.
Además de las modalidades de ataque vía SMS ya comentadas, es importante mencionar la creciente estafa realizada a través solicitudes de dinero en la App del banco suplantando la identidad de Bizum.
Los ciberdelincuentes solicitan una cantidad de dinero a su víctima que lleva unida una autorización. La víctima, sin sospechar que se trata de una transferencia encubierta, autoriza la solicitud y envía el dinero a la cuenta fraudulenta del ciber-atacante.
Por eso, es muy importante prestar atención a las solicitudes de 'Bizum' recibidas, diferenciar si se trata de una recepción o envío de dinero y, sobre todo, activar las alarmas si te están pidiendo autorización, ya que, si alguien te ha mandado un bizum, el ingreso sería automático, no necesitas autorización para poder ingresarlo en tu cuenta.
Recomendaciones de seguridad: cómo evitar caer en la trampa del Smishing.-
Ante el elevado número de ataques de Smishing y SMS Spoofing, lo más recomendable es adoptar algunas recomendaciones y hábitos de seguridad, a tal fin son totalmente válidas las recomendaciones indicadas para evitar el 'phishing'.
Si deseas acceder a ellas, pulsa AQUÍ.
PUBLICIDAD
Ya hemos hablado de lo que es la suplantación de identidad o 'phishing', pero hay otro tipo de ataque informático que también se produce con mucha frecuencia y conocemos menos. ¿Sabéis qué es el 'Spoofing'? Os lo contamos en el siguiente vídeo.
Veamos a continuación la variante del 'phishing' denominada 'Vishing'.
¿Qué es el vishing'?
El 'vishing' es un tipo de 'phishing' en que se usa una llamada telefónica en lugar de un correo electrónico como es el caso del 'phishing'.
El objetivo que persiguen los ciberdelincuentes es el mismo que en el 'phishing', esto es, obtener credenciales bancarias, datos personales, dinero o bien instalar malware en el dispositivo.
¿Cómo se realiza este ataque?
Las llamadas de vishing pueden ser muy diversas, ya que, dependiendo del objetivo del ciberdelincuente, variará el contenido de la llamada.
Actualmente es necesario estar alerta sobre algunos fraudes sofisticados que, con ayuda de la Inteligencia Artificial, los ciberdelincuentes consiguen suplantar a la entidad bancaria o empresa, y generar confianza al usuario para que éste facilite la información solicitada sin sospechar. Este vishing sofisticado combina, además del uso de la IA, varias técnicas de ingeniería social como el Spoofing (suplantación del teléfono, que puede aparecer en la pantalla con el nombre del banco) y el OSINT (búsqueda de información en fuentes de Internet).
Por esta razón, es muy importante que, ante llamadas inesperadas de tu banco en la que te soliciten datos sensibles como contraseña, firma electrónica, código de confirmación que llega por SMS o información similar, sospeches inmediatamente.
Recuerda que tu entidad bancaria nunca te pedirá estos datos confidenciales por teléfono o mensaje.
Tipos de fraude más comunes realizados mediante llamadas telefónicas.-
Préstamos erróneos.
El timo de devolución o cancelación de préstamos es una modalidad de estafa que está aumentando considerablemente últimamente, en la que los ciberdelincuentes se hacen pasar por instituciones bancarias para engañar a las víctimas.
Si recibes un mensaje o llamada donde te indican que puedes recibir una devolución de un pago relativo a un préstamo realizado por error, cancelar total o parcialmente un préstamo o renegociar las condiciones del préstamo a cambio de comisiones iniciales, sospecha y, sobre todo, no hagas nunca lo que te piden ni facilites tus datos personales o bancarios.
Falsos técnicos de soporte.
Un caso habitual de este tipo de estafa es el del falso técnico que llama para solucionar un supuesto problema con el equipo. El ciberdelincuente intenta convencer al usuario de que, para solucionar la incidencia, es necesaria la instalación de un programa de acceso remoto.
De esta forma, consigue hacerse con el control de su ordenador y acceder a su información bancaria. De este caso existen otras variantes que afectan también a clientes bancarios: con el pretexto de alguna incidencia de seguridad, tratarán de conseguir información bancaria.
Suplantación de entidades oficiales.
Otro caso que está siendo cada vez más frecuente, es el de la suplantación de identidad de operadoras de telefonía móvil, que ofrecen la participación en un sorteo de regalos exclusivos, como teléfonos inteligentes de última generación.
Es importante tener en cuenta que estas ofertas engañosas no solamente llegan a nosotros a través de llamadas telefónicas, sino también a través de mensajes y publicidad 'en-línea'.
Premios y sorteos fraudulentos.
¿Has recibido alguna vez una llamada o mensaje donde te decían que habías ganado un premio sin haber participado en ningún sorteo? Éste es un tipo de fraude en que los ciberdelincuentes intentarán que caigas en la trampa utilizando como gancho el haber sido el ganador de un premio o sorteo. Normalmente el premio suele ser dinero, un coche o un viaje; pero con la condición de que, para reclamarlo tienes que abonar unas supuestas tarifas de 'gestión', 'impuestos' o 'envío'.
Normalmente, estos mensajes suelen llegar por correo electrónico, SMS o a través de una red social, y pueden parecer legítimos, ya que utilizan logotipos de marcas conocidas o un lenguaje formal para parecer más creíbles. A pesar de ello, desconfía, las empresas reales nunca te pedirán dinero por adelantado para entregarte un premio o un regalo.
Estafas relacionadas con familiares en peligro.
Para llevar a cabo esta estafa, los ciberdelincuentes utilizan tácticas para engañar a las víctimas atacando a la parte más emocional, haciéndose pasar por algún familiar o pariente cercano que supuestamente está en problemas y necesita ayuda inmediata.
Pueden inventar situaciones como que un pariente ha sido detenido, que ha sufrido un accidente o necesita comprar urgentemente un billete de avión porque su vuelo ha sido cancelado.
Además, el uso de la Inteligencia Artificial (IA) ha perfeccionado este tipo de estafas hasta el punto de que los atacantes son capaces de imitar la voz de tu familiar, utilizando grabaciones o datos obtenidos previamente, para hacer la llamada más creíble, lo que aumenta la probabilidad de que actúes como te piden. Por lo general, te presionan para que realices una transferencia de dinero de forma inmediata, apelando a la supuesta urgencia de la situación.
Es importante que, si te encuentras frente a una situación de estas características, intentes mantener la calma, verifiques siempre la información y no cedas a la presión sin confirmar que la emergencia es real.
Cómo evitar la estafa telefónica.-
El primer método de prevención es estar informado. Para ello, puedes seguir algunas recomendaciones de seguridad con las que anticiparte a los ciberataques y mantener protegido tus dispositivos. Son válidas las recomendaciones dadas para evitar el 'phishing' y que puedes ver pulsando AQUÍ. Además:
- Sospecha si recibes una llamada de un servicio conocido que no esperas, aunque en la pantalla de tu teléfono aparezca el nombre de una empresa conocida. Y, sobre todo, de aquellas comunicaciones que soliciten realizar una acción de manera urgente, como facilitar tus datos bancarios.
Si has recibido una llamada supuestamente desde tu entidad bancaria y tienes dudas, contacta con ellos mediante cualquier canal oficial. - No facilites información personal ni reveles tus credenciales bancarias. Tu entidad bancaria nunca te solicitará información confidencial por correo electrónico, SMS o cualquier otro canal poco seguro.
- Cuidado con las ofertas excesivamente buenas, promociones o devoluciones de dinero que no hayas solicitado. Si tienes dudas con lo que te ofrecen, ponte en contacto con la entidad legítima o infórmate en sus canales oficiales.
- Mantén la calma y no sigas las indicaciones del ciberdelincuente. Es preferible interrumpir la comunicación y ponerse en contacto con el banco o la entidad para denunciar lo sucedido. En caso de haber facilitado tus datos, comprueba rápidamente si ha habido movimientos en tu cuenta.
En general, vemos que las estafas buscan, mediante la suplantación de identidad, y, que buscan, obtener credenciales bancarias, datos personales, dinero o bien instalar malware en el dispositivo.
Por tanto, los siguiente consejos son aplicables para evitar cualquier ciberestafa:
- Sospecha de cualquier comunicación en que se te urja para realizar una acción. En general, te presionarán apelando a la supuesta urgencia de la situación. ¡Piensa tranquilamente cualquier acción.
- Evita pulsar sobre cualquier enlace que pueda redirigirte a una página web maliciosas, o descargarte un programa de malware.
- Tu entidad bancaria nunca te solicitará información confidencial, tal como nombres de usuario o contraseñas.
- Ante la mínima sospecha, ¡Cuelga!
- Haz llegar tus sospechas a la entidad bancaría o empresa, y denuncia los hechos a las autoridades.
PUBLICIDAD
El siguiente vídeo trata sobre el 'vishing', también conocido como la estafa de doble llamada, y que es una más de las técnicas de engaño utilizada por ciberdelincuentes para robar tus datos personales o bancarios con el fin de cometer algún tipo de fraude utilizando tu información.
En el vídeo se te cuentan los detalles para que no caigas en la trampa de esa llamada que se hace pasar por otra empresa.
| ← Tema anterior | Tema siguiente → | |
| 1er. Timo Tecnológico | Menú Timos Tecnológicos |
PUBLICIDAD
|
¿Quieres recibir en tu correo electrónico, diariamente y de forma gratuita, chistes, memes, así como temas curiosos, graciosos, y temas ¿Sabías que ...? → Pulsa el botón → Recibir los boletines de LS |
| El Humor del Día | El Tema de la Semana | ||
| Todos los Chistes | Chistes cortos | ||
| Historietas graciosas | Historias curiosas |
