Los cibercriminales siempre atacan buscando el beneficio económico. Independientemente de que secuestren a una empresa con un virus de tipo «ransomware», o de que intenten engañar a los usuarios para que revelen sus credenciales de la banca online. Algo bastante habitual en las amenazas de tipo «phishing», en las que los delincuentes suplantan a un tercero, como podría ser una empresa conocida o una entidad bancaria, y emplean ingeniería social para que el internauta entregue, sin darse cuenta, sus datos personales: contraseñas, número de tarjeta bancaria o claves de acceso, entre otras cosas.
Este tipo de estafas son bastante habituales y suelen realizarse a través de correo electrónico, páginas web maliciosas o mensajes de tipo SMS o WhatsApp. Para poder evitarlas, es importante que el usuario sea capaz de reconecerlas. En ABC hemos recopilado una serie de consejos que pueden ayudarle en la tarea.
Desconfía
En conversación con ABC, José de la Cruz, director técnico de la firma de ciberseguridad Trend Micro en España, afirmaba hace unos meses que el primer paso para protegerse del «phishing» es desconfiar por sistema de las comunicaciones en las que se solicita cualquier tipo de información bancaria: «Es muy importante utilizar el sentido común. En el caso de las estafas que tratan de robar la cuenta del banco del usuario, hay que saber que los bancos no entran en contacto con el cliente por medio de correos electrónicos o vía SMS para pedirle sus credenciales. Es algo muy raro. Yo diría que no ocurre con ninguna entidad».
Ante la más mínima duda sobre la veracidad de una comunicación, el internauta debe intentar ponerse en contacto con la empresa que, supuestamente, le ha enviado el mensaje. Ya sea mediante una llamada telefónica o un correo electrónico a una cuenta oficial de la compañía. Jamás se debe responder directamente al mensaje que se ha recibido y que causa dudas.
Fíjate en todo
Según se recoge en el reciente informe Brand Phishing de la firma de ciberseguridad Check Point, el medio más empleado por los cibercriminales para lanzar ataques de tipo «phishing» es el correo electrónico con un 44% de los casos. Muy cerca, con un 43%, se encuentran las ciberestafas a través de páginas web maliciosas.
Estas dos técnicas, como explicaba recientemente a este diario el director técnico de Check Point para España y Portugal, Eusebio Nieva, muchas veces se complementan: «Para robar contraseñas, lo más habitual es que los ciberdelincuentes falsifiquen la página web de una empresa conocida, para que la víctima ingrese sus credenciales sin darse cuenta. Para infectar con virus un dipositivo, se suele emplear el correo electrónico; donde puedes insertar ficheros dañinos».
Las ciberestafas bancarias más sofisticadas suelen comenzar con un correo electrónico en el que los atacantes suplantan a una empresa conocida con la que es bastante probable que el usuario tenga contratado algún tipo de servicio. Dicho email suele ir acompañado por un mensaje llamativo y un hipervínculo, que puede iniciar la descarga de un archivo malicioso en el que se aloja un virus capaz de robar información, o bien, redirigir a la víctima a una página web diseñada para hacerse pasar por la oficial de la compañía. Allí los cibercriminales suelen solicitarle al usuario una gran cantidad de información personal. Desde los datos de la tarjeta de crédito hasta las claves para acceder a la banca online.
Ingeniería social y errores
Las ciberestafas por correo electrónico comparten una serie de características que pueden ayudar al usuario a reconocerlas. Una de las más habituales es el empleo de ingeniería social en el asunto y en el texto que acompaña al mensaje. De este modo, las campañas de «phishing» suelen «advertir» a la víctima de supuestos bloqueos de cuentas, errores al realizar algún tipo de pago o fallos de seguridad que pueden haber comprometido algún servicio. Es decir, cosas que llaman la atención y causan en el internauta cierta sensación de urgencia.
Para descubrir si se trata de una comunicación verídica, también es importante fijarse en el dominio desde el que se envía el correo y ver si corresponde con el oficial de quien, supuestamente, ha contactado. Otra cosa que suelen tener en común las ciberestafas son los errores ortográficos y de redacción. Asimismo, existen casos en los que la comunicación se realiza en un idioma que es distinto al del usuario, algo que, en función de quien sea el tercero, podría no tener ningún sentido.