¿QUÉ ES EL PHISHING Y CÓMO EVITARLO?

  • Actualizado: 1 marzo 2023
  • Publicado por primera vez: 12 julio 2019
Jorge García

que es el phising

Es muy posible que recientemente hayáis recibido un correo electrónico de alguna entidad bancaria o de alguna empresa logística solicitando validar vuestros datos (para el caso bancario) o el abono de una cantidad de dinero en concepto de gastos de aduana o reembolso (para el caso de las empresas logísticas). Generalmente esto os hace sospechar y comenzáis a leer en detalle el correo electrónico para descubrir que el texto carece de coherencia lingüística, tiene faltas de ortografía e inmediatamente tenéis la sensación de que está pasando algo raro.

Cuando hacéis click en el enlace que proporciona el correo electrónico, el navegador no os avisa de ningún problema de seguridad y acabáis en una página con los colores y logo corporativos con todo aparentemente legal. En ese momento todo parece normal, hasta que lees que te solicitan introducir tu contraseña y tus datos personales o un pago vía Western Union o una transferencia bancaria a un banco extranjero. En este momento las sospechas aumentan y decides desistir.

Lo que este tipo de atacantes pretende es suplantar la identidad de otra persona o empresa, haciéndonos creer que nos estamos comunicando con alguien diferente a quien realmente es.

A este tipo de prácticas de suplantación de identidad se le denomina comúnmente phishing. Lo que un atacante pretende con el phishing es la suplantación de la identidad de otra persona o empresa con el objetivo de obtener nuestros datos o nuestro dinero.

 

EBOOK GRATIS: 12 consejos para implantar un ERP con éxito

 

Una de las campañas de phishing que se ha venido desarrollando en el último mes ha sido la campaña de phishing bancario contra los clientes de ING, Bankia, BBVA y Caja Rural.

El caso de ING es el que estaba mejor elaborado. El usuario recibe un correo electrónico en su bandeja de entrada con el logotipo del banco y la paleta de colores y formato habituales que utiliza la entidad. La redacción es correcta. En el correo se nos solicita que debemos actualizar nuestros datos a través del área de clientes.

 

phishing_01

Para ello, el atacante incluye en el correo un enlace a una web que simula ser la original, pero se trata de una falsificación. A continuación, se nos solicitan todos los datos que normalmente los clientes de dicha entidad introducen para iniciar sesión, tales como el documento nacional de identidad, la fecha de nacimiento, la clave de acceso, etc. También solicitan una foto de la tarjeta de coordenadas, algo que nunca nos pediría la entidad legítima.

En el caso de ING, se aprecia un gran esfuerzo por parte de los atacantes en intentar convencer al usuario de que se están comunicando con el banco. Muestra de ello es el extraordinario parecido del correo con las comunicaciones legítimas de la entidad.

Sin embargo, por suerte no todos los correos de phishing son tan elaborados. El phishing dirigido a los clientes de Caja Rural podemos observar que ni tiene formato, ni viene de una dirección de correo que pretenda suplantar a la entidad y hasta incluye parte del código HTML visto que se ha omitido por error.

PHISING_02

Entonces, ¿qué medidas podemos adoptar para no caer en la trampa? Lo cierto es que basta con seguir estas directrices:

  • Utilizar el sentido común. Si lo pensamos bien, los phishing son bastante evidentes por lo que utilizar el sentido común es la medida más importante. Si nos llega un correo que dice ser de una compañía de la cual no somos clientes (por ejemplo, recibimos un correo de Iberdrola, pero nuestro proveedor de energía es Cepsa) debemos eliminarlo.
  • Acceder a la web a través de la página oficial. Nunca se debe hacer click en un enlace incluido en un correo electrónico. Si queremos acceder a la página de nuestro banco, accederemos a través del navegador introduciendo mano la URL oficial.
  • Observar la URL en la que estamos navegando. Especialmente a la hora de introducir credenciales, nos fijaremos en que el nombre sea exactamente el que tiene que ser (por ejemplo, es, en lugar de una posible falsificación como iing.es, ing-banco.es o cualquier otra). A veces puede ser complicado darse cuenta si no prestamos atención.
  • Asegurarnos que estamos en una página HTTPS. Esto lo podemos comprobar viendo si la URL incluye el candado de color verde. Esto nos indica que la conexión está cifrada y que disponemos de cierto grado de privacidad.
  • Ningún empleado de ninguna compañía nos va a pedir la contraseña nunca. En ningún caso un empleado de una compañía de la cual somos clientes nos va a preguntar la contraseña o las claves de acceso telefónicamente ni por correo electrónico. Si lo hace, no estamos hablando con un empleado de dicha empresa sino con un atacante que pretende hacerse con nuestras credenciales. Sí que es habitual y legítimo que nos pregunten por teléfono datos personales para asegurase de que están hablando con el titular del servicio, pero nunca la contraseña.
  • Nunca accedas a la banca online desde dispositivos públicos, como ordenadores de hoteles, ciber cafés, o terminales ubicados en aeropuertos. Es habitual que contengan malware que grabe todas las teclas pulsadas y clicks del ratón en la pantalla.
  • No utilices redes Wi-Fi públicas. Este tipo de redes escapan a nuestro control y, aunque es muy tentador tener Wi-Fi gratis, hacerlo puede suponernos ser víctimas de envenenamiento DNS o que nuestro tráfico sea capturado fácilmente.
  • Utiliza fuera de casa una VPN. Si no nos queda más remedio que acceder desde una Wi-Fi pública o ubicación remota, es conveniente utilizar una conexión VPN para asegurarnos de que nuestro tráfico está cifrado hasta salir de la red en la que nos encontramos.
  • No hagas caso ni propagues los bulos. No, el banco no va a cancelar tu cuenta si no accedes a ella a través del enlace que te han enviado. Tampoco reenvíes el mensaje a amigos y familiares, ya que podrían caer en la trampa.
  • Nunca contestes a los correos electrónicos de phishing

Siguiendo estos consejos, estaremos a salvo de caer en un phishing. Lo más importante es extremar las precauciones. A menudo las campañas de phishing se lanzan de forma masiva, es decir, no nos eligen personalmente por ser objetivos reseñables, por lo que debemos asumir que podemos ser víctimas de un ataque de phishing en cualquier momento.

 

5 errores relacionados con un ERP

 

Si te ha interesado este POST te invitamos a que leas también: