Phishing: Cómo reconocer y evitar las estafas virtuales

El phishing, una técnica de ingeniería social que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así apropiarse de la identidad de esas personas. Se envían correos electrónicos falsos –entre otras modalidades- como anzuelo para “pescar” contraseñas y datos personales valiosos.

Cómo funciona

El, o los atacantes, envían un mensaje a la víctima con el fin de persuadirla para que haga clic en un enlace, descargue un archivo adjunto, envíe información solicitada, o incluso para que complete un pago. 

Los hackers lo que buscan es que la persona no pueda alertarse de que lo que está leyendo o escuchando, si es una llamada telefónica, sea falso. De esta forma, van a buscar que todo parezca legal e incluso parte de alguna organización verificada. Se debe prestar mucha atención a aquello que accedemos de forma online.

Los ciberdelincuentes desean obtener datos de contraseñas, números de tarjetas de crédito, DNI, CUIT o CUIL, nombres de usuario, códigos PIN. Una forma de comprobar si fue víctima de un ataque de phishing es revisar en forma periódica tus resúmenes bancarios buscando transferencias que no autorizaste.

Tipos de phishing

Existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. Puede suceder que los correos electrónicos que contengan estafas sean enviados a la carpeta de spam. La principal diferencia entre ambos es que los spammers no tratan de perjudicar al destinatario. 

La forma más común de estafa virtual es mediante el correo electrónico, pero también pueden usarse sitios webs falsificados. Los hackers crean estos sitios para engañar a las personas, de modo que introduzcan sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web. 

Otra manera empleada son las robo llamadas, donde el atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda usarse más adelante para el robo de identidad. Son muchos los casos en los que los delincuentes se hacen pasar por trabajadores de bancos, lo que despierta confianza en los ciudadanos y facilita el robo de datos.

Suele pasar que los atacantes ya tengan información de la víctima por lo que este tipo de contacto parece fehaciente. Ya ha sido aclarado por medio de distintos bancos que sus trabajadores no van a hacer llamados para gestionar claves ni compartir datos importantes referidos a cuentas bancarias.

También se emplean mensajes de texto o SMS donde se pide que hagan clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se descarga en su teléfono un malware que puede captar su información personal y enviarla al atacante.

Los tipos de phishing o estafas virtuales pueden ir desde lo más común hasta lo más elaborado, implicando correos electrónicos u otro tipo de contacto con información más personalizada para que sea más fácil engañar a la víctima. 

Cómo evitar el robo de nuestros datos

·         Después de leer el correo no hacer clic en los enlaces. Realizar las verificaciones pertinentes acudiendo directamente desde la URL del navegador.

·         Es de ayuda contar con antivirus en los dispositivos electrónicos para evitar contaminar los aparatos con virus.

·         Introducir datos confidenciales solo en sitios web seguros. Para que un sitio se pueda considerar como ‘seguro’, el primer paso -aunque no el único- es que empiece por "https://", lo que implica que sigue el protocolo de transferencia de hipertexto, y que el navegador muestre el icono de un candado cerrado.

·         Revisar periódicamente las cuentas. No está de más revisar facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones.

·         Ante cualquier duda, no arriesgarse. Asegurar la autenticidad del contenido ante la más mínima sospecha es la mejor política.

·         Comparar el remitente con los mensajes anteriores de tu banco o servicio.

·         No contestar formularios en línea enviados por destinatarios desconocidos.

·         Evitar responder a ningún correo electrónico, mensaje o llamado telefónico que solicite divulgar información personal.

·         No enviar ni compartir ningún código de seguridad como el código PIN por teléfono o por correo electrónico.

·         Desconfiar de los archivos adjuntos: pueden causar la descarga de la clave de registro o software "spyware" en la computadora.

Cómo reconocer mensajes de estafas virtuales

Si bien los atacantes pueden llegar a ser muy creativos a la hora de estafar personas, suelen cometerse algunos errores o caer en ciertos patrones que permiten darse cuenta si un mensaje es o no fraudulento:

·         El correo electrónico no está dirigido a usted. La mayoría de estos correos son generales para lograr estafar a más de una persona. Por ese motivo, el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario de correo electrónico. La correspondencia oficial de empresas legítimas se dirigirá a usted por su nombre.

·         Ofertas que no se pueden rechazar. En estos casos se juega con la urgencia de las ofertas, lo que hace que la persona no chequee correctamente la información y haga clic en los anuncios emergentes o links. Ninguna entidad legítima, ni gubernamental, ni empresarial, ni de ninguna clase, dará una única y urgentísima posibilidad antes de “cerrar la oferta”. 

Enlaces con errores. Los hackers crean versiones falsificadas de sitios legítimos con URL que son casi idénticas. Es importante estar atentos a los errores deliberados, ya sean tipográficos (los hackers intentarán engañar con versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Leer atentamente.

·         De la misma manera, se usan mensajes escritos de forma incorrecta. El banco no envía correos electrónicos llenos de faltas de ortografía y errores gramaticales. 

·         Archivos adjuntos. Fuera de un contexto de confianza con quien le envía el mensaje o correo, es importante alejarse de los archivos adjuntos desconocidos. Los estafadores pueden incluso ocultar malware en archivos de contenido enriquecido, como los PDF.

·         Solicitudes de información personal. Si recibe un correo electrónico donde se le pide que confirme su información de cuenta, las credenciales de inicio de sesión u otros datos personales, es probable que se trate de una estafa.

·         Correos o mensajes provenientes de empresas que usted no utiliza. Los estafadores no conocen las bases de datos de empresas relevantes, por lo que puede pasar que se contacten con personas que no han contratado los servicios de la empresa que dicen representar. Esto pasa mucho por llamadas telefónicas. 

 Para más información, visitar la página de argentina.gob sobre el phishing: https://www.argentina.gob.ar/justicia/convosenlaweb/situaciones/phishing#:~:text=La%20palabra%20phishing%20quiere%20decir,la%20identidad%20de%20esas%20personas.

Y para hacer denuncias al respecto: https://www.argentina.gob.ar/denunciar-un-delito-informatico#:~:text=%C2%BFC%C3%B3mo%20hago%3F&text=Hac%C3%A9%20la%20denuncia%20ante%20la,9000%2C%20interno%20N%C2%B0%209266.