Como se ha comentado en algún artículo anterior, desde los meses de cuarentena que se vivieron en España la primavera del 2020, el ciberataque denominado phishing se popularizó considerablemente entre los delincuentes cibernéticos. El phishing consiste en el uso de técnicas de ingeniería social con las que se logra suplantar identidades, personas o marcas para robar datos personales y bancarios. Tiene como objetivo robar dinero de las cuentas sustrayendo información a través de la infección por malware. Por ello vamos a enseñadora a detectar el phishing.
Esta técnica está siendo cada vez más perfeccionada por los hackers. Los correos que envían son muy sofisticados, pues intentan ganarse la confianza del usuario para que pique en su URL. De esta forma pueden acceder a sus equipos y robar todo lo que necesitan para ingresar en sus plataformas personales.
Cada vez más clientes nos preguntan Informático Granada cómo podrían salvarse ante un ataque de este estilo o cuáles serían las técnicas para saber si el material que se recibe a través del correo es fraudulento o legítimo.
Consejos para detectar el phishing
No existe una regla exacta a través de la cual se pueda detectar este tipo de correos. Pero sí hay una serie de consejos para detectar el phishing que se deben de tener en cuenta antes de caer en la trampa. Aunque puede parecer complejo, es más sencillo de lo que parece.
Mirar si parece sospechoso
Los ciberdelincuentes crean correos que generan en la víctima confianza o incertidumbre. Suplantan la identidad de entidades bancarias, empresas de luz o agua, o de alguna organización de renombre. Suelen enviar un mensaje atractivo o de alerta que incita al usuario a clicar para solventar sus dudas.
Antes de nada, hay que pensar que, aunque el remitente sea muy conocido, es importante ver el contenido del mensaje y aquello que se nos solicita. Por lo general, los bancos o administraciones públicas no suelen pedir información personal vía electrónica. Ante la mínima duda y cuando se solicita información delicada, mejor no entrar en ningún enlace y llamar directamente a la organización.
Remitentes
Parece una obviedad, pero hay que analizar con lupa las direcciones de correo, pues en muchas ocasiones son casi idénticas a las originales. Hay que fijarse en el dominio para las direcciones de email, dado que las grandes entidades lo utilizan dentro de sus correos electrónicos: jamás verás a un banco, una gran empresa o una organización de renombre utilizar “@gmail” o “@hotmail”.
La ciberdelincuencia se esmera mucho en parecer real. Llegan a crear dominios que a simple vista pueden parecer oficiales, pero que no lo son, pues se pueden observar pequeños detalles que los delatan, como el cambio de una letra, un punto de más, dos extensiones al final en vez de una, etc. Son cosas sutiles, pero a las que hay que prestar atención para no dejarse engañar.
Por otro lado, aunque el dominio pudiera al fin de cuentas parecer legítimo, si el contenido fuera cuestionable, lo mejor sería contactar con el supuesto remitente a través de otro canal, como por ejemplo el telefónico, y cuestionar aquello que ha llegado vía online.
Peticiones de alarma
Crear un estado de urgencia mediante una llamada de advertencia es el recurso de los hackers para generar alarma entre su público. Los más habituales suelen ser:
- Su contraseña ha caducado, modifíquela en 24 horas.
- Le han robado la cuenta.
- Está en números rojos.
Ante estas prisas, los usuarios se ven forzados a reparar el daño que se les ha infligido por miedo a que el mal vaya a más y pierdan más dinero o la cuenta de determinada red social. Hay que mantener la calma, leer todo, revisar los dominios, las extensiones y no pinchar encima de ningún enlace que pueda parecer sospechoso, es la clave para detectar el phishing.
¿A cuántas personas va dirigido?
Las campañas de phishing suelen ir dirigidas a centenares de personas de manera masiva, por lo que, observando a cuántos usuarios ha sido enviado, se podrá obtener una pista sobre cuánto de malicioso hay en ese envío.
Aun así, como ya se ha comentado anteriormente, esta no es una técnica exacta, pues cada vez los correos son más profesionales y van dirigidos de una forma particular para que las víctimas piensen que solo ellas han recibido la información.