¿Alguna vez has recibido un correo electrónico de alguna red social para que cambies tu contraseña o has recibido un SMS de tu banco para que cambies las credenciales de tu banca electrónica por una filtración de datos? ¡Precaución! Podrían tratarse de fraudes electrónicos o cómo comúnmente se conocen, “phishing”.

En 2021 se registró un incremento del 7.3% de este tipo de ataques, precedido de un incremento previo durante el brote de COVID-19. Según un estudio de Verizon se cree que el 25% de filtraciones de datos en empresas se debe a este tipo de ataques. El 96% de ataques se realizan vía correo electrónico, seguido por un 3% realizado a través de páginas maliciosas y un 1% a través del móvil.

 

¿Qué es phishing?

El phishing es un fraude electrónico en el que el atacante se hace pasar por una persona legítima o entidad para persuadir a la víctima para que haga clic en un enlace, se descargue un archivo adjunto, envíe información sensible o incluso realice un pago.

Algunos tipos de phishing más comunes son:

• Phishing por correo electrónico: el más común, se trata de un correo fraudulento que incluyen archivos adjuntos infectados o enlaces que nos redirigen a algún tipo de web maliciosa.
• Phishing por sitio web: páginas web idénticas a las originales, son copias a páginas en las que confiamos (Twitter, Paypal, Netflix, …) y que el atacante utiliza para robarnos los datos.
• Smishing: phishing mediante SMS.
• Vishing: phishing a través de llamada telefónica.

 

¿Cómo prevenimos ser víctimas de phishing?

No existe una fórmula que garantice al 100% evitar el phishing, pero si existen algunos tips que nos pueden servir de gran ayuda.

• Sea precavido: sospeche de cualquier tipo do correo relacionado con nuestra información sensible y asegúrate antes de descargar algún archivo o hacer clic en cualquier enlace.
• El contenido del mensaje es sospechoso: Normalmente suelen pasarse por un banco, red social o plataforma de pago. En el mensaje incluyen palabras como urgente, importante o brecha de seguridad, con el fin de asustar a la víctima para que rápidamente sin pensar haga clic en el enlace y que posteriormente introduzca sus datos personales.
• Mala redacción: normalmente suelen incluir en el mensaje fallos gramaticales (no se incluyen tildes), fallos semánticos o frases mal construidas.
• Destinatario genérico: el correo no suele ir dirigido a una persona concreta, sino que utilizan expresiones genéricas como “estimado cliente” o “amigo”.
• Enlaces extraños: normalmente el atacante envía un enlace que nos llevará a una copia de la página original. Para prevenir esto comprobar que el enlace pertenece a la página legitima situando el cursor encima. Una buena práctica es siempre acceder a la página oficial a través del navegador y nunca haciendo clic en los enlaces.

• Remitente sospechoso: comprobar que la dirección de correo del remitente tiene coherencia con el mensaje. Por ejemplo, si recibimos un mensaje del banco Santander comprobar que la dirección de correo electrónico tiene palabras como @santander.com y no @rsmith34.

 

¿Qué hacer si creemos haber sido víctimas?

Si recibimos un correo que pensamos que puede tratarse de un ataque de phishing, simplemente lo ignoraremos. En el caso de que creamos que podemos haber sido víctimas de un ataque de phishing, lo que debemos hacer es.

1. Escanear el dispositivo utilizando un antivirus.
2. Borrar cualquier tipo de archivo que nos hayamos descargado.
3. Cambiar nuestras contraseñas a la mayor brevedad posible.
4. Activar la autenticación en dos factores.
5. Comunicarnos con el banco para cancelar cualquier pago no autorizado.
6. Recopilar la información y denunciarlo ante las Fuerzas y cuerpos de Seguridad.

 

 

Publicado el 25 de Marzo de 2022
Por Francisco Javier García
Departamento de Ciberseguridad