Cuando abro el correo electrónico, encuentro un mensaje pensado para asustarme o para provocar mi curiosidad o codicia, la intención es debilitar mi buen juicio o sentido común. El mensaje exige que actúe de inmediato, “haga clic en el enlace” o tendré que afrontar alguna pérdida o dejar de obtener una ganancia extraordinaria.
Si pico el anzuelo y hago clic en el enlace, me encontraré, posiblemente, en un sitio web que es una imitación del legítimo. A partir de aquí, me piden que confirme mi identidad solicitando mi usuario y contraseña o que teclee el número de mi tarjeta, caducidad y CVV. Si soy lo suficientemente ingenuo y lo hago, les habré abierto las puertas de mi espacio digital y quedaré expuesto a que me roben mi identidad, saqueen mis cuentas bancarias, usen hasta el infinito mi tarjeta de crédito y vendan mi información personal y mis contactos.
¿Para qué perder el tiempo tratando de sortear capas de seguridad cuando puede engañar a alguien para que le entregue la llave? El eslabón más débil en un sistema de seguridad no suele ser un fallo en el programa; sino una persona que no comprueba la procedencia de un correo electrónico.
Hay muchos tipos de phishing y variados, según el asunto:
– Enhorabuena ganador/a
– Donación de un filántropo
– Petición de amistad
– Restitución de fondos
– Confirme sus datos o se cancelará su cuenta
– Avisos de que están operando con su tarjeta o accediendo a su cuenta
Y la lista continúa, porque la estafa de phishing no requiere de grandes conocimientos técnicos por parte del ciberdelincuente. Así resulta ser el ciberataque más sencillo y a la vez el más peligroso por su efectividad. Los autores del phishing saben de mi vulnerabilidad como usuario final del sistema y se valen para ello de la “ingeniería social”.
La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de la persona. Aprovechan mi tendencia natural a reaccionar de manera predecible en ciertas situaciones. Por ejemplo, que me pondré nervioso o entraré en pánico si me dicen que están haciendo operaciones fraudulentas con mi tarjeta o que han accedido a mi cuenta y pincharé donde sea que me digan para solucionarlo. También que me podrá la curiosidad por ver la foto de la persona que me pide amistad o saber cuál es el premio que me dicen que he ganado y volveré a pinchar.
Sin embargo, para ser menos vulnerable a estos ataques, puedo reforzar mi línea de defensa con formación e información sobre este tema.
¿Cómo evitar un ataque de phishing?
Aquí van algunos consejos básicos para mantenerme alerta:
– No abrir correos electrónicos de remitentes que no me sean familiares.
– No hacer clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde me lleva.
– Si recibo un correo electrónico de una fuente de que la que no estoy seguro, teclearé manualmente en el navegador el enlace que dicen escribiendo la dirección legítima del sitio web. (No “copiar y pegar”)
– Busque el certificado digital del sitio web.
– Comprobar que la URL de la página es segura. Las webs ‘seguras’ han de empezar por ‘https://’ y debe aparecer en el navegador el icono de un pequeño candado cerrado.
– Si sospecho que un correo electrónico no es legítimo, selecciono un nombre o parte del texto del mensaje y lo llevo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
– La mayoría de las herramientas de seguridad informática tienen la capacidad de detectar muchos de estos mensajes y los haya enviado a la carpeta de SPAM o “correo no deseado”. Por la dirección y el asunto debo pensar en eliminarlo directamente.
¿Qué hacer si soy víctima de un phishing?
Si sospecho que he sido víctima de uno de estos correos, lo que debo hacer es:
- Contactar con el banco para cancelar cualquier pago no autorizado o mi tarjeta en caso necesario.
- Escanear mi dispositivo con un antivirus actualizado.
- Eliminar cualquier archivo que haya descargado del correo.
- Cambiar mis contraseñas de las cuentas implicadas.
- Y, finalmente, recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Recuerda que tu banco u otro proveedor de servicios, sabiendo cómo actúan estos ciberdelincuentes, nunca te pedirán por correos electrónicos, SMS o llamadas que facilites tus datos de usuario, números de cuenta o tarjeta y claves de acceso.