Seguramente, desde hace unos años recibas continuos emails de empresas con las que no has tenido ninguna relación comercial. Estos correos suelen pedirte que descargues un documento o pulses sobre un enlace para completar tus datos personales. Esas acciones nos llevan a descargar un malware o a páginas no seguras donde incluir información personal y bancaria. Esto es lo que se conoce como “email phishing”. De manera sencilla, podríamos definir el phishing como la técnica que, suplantando la identidad de cualquier entidad, busca estafar o robar los datos de carácter personal de los receptores mediante el engaño.
Esta acción maliciosa es cada vez más sofisticada. Si antes era relativamente sencillo identificar un email como sospechoso (textos traducidos de otros idiomas sin mucha coherencia, direcciones de correo no corporativas…) ahora los ciberdelincuentes están perfeccionando técnicas que hacen que cada vez sean más las víctimas del phishing.
Suplantar la identidad de los bancos para conseguir información de las víctimas es uno de los ejemplos más habituales. Pero no son los únicos suplantados. Iberdrola, Correos, Amazon, Netflix… son otras empresas que, por su reconocimiento, utilizan los ciberdelincuentes para conseguir sus propósitos.
Como usuario, debes saber que los bancos no solitan que incluyas todos tus datos a través de un correo electrónico. Desconfía si te piden facilitar número de cuenta y PIN, y más si no tienes cuenta en esa entidad. Lo mismo ocurre con Hacienda, organismo que en alguna ocasión ha sido suplantado para robar información personal de los usuarios. En su página web, la Agencia Tributaria aconseja “desconfiar de cualquier comunicación que incluya la petición de información confidencial, económica o personal o incluya cualquier enlace que no remita a su página web o a su Sede electrónica”.
Ante cualquier comunicación que parezca sospechosa, es fundamental ser precavidos. Si dudas de la veracidad de un correo electrónico que te solicita descargar un archivo o facilitar información personal, nuestra recomendación es que te pongas en contacto con la compañía que remite el email. Ellos te informarán de si se trata de una comunicación veraz o, por el contrario, es un intento de engaño.
¿Pero qué pueden hacer si consiguen mis datos personales?
El phishing, que parece que solo pasa en las películas, es uno de los métodos más utilizados para obtener información. Entre los fines perseguidos está obtener información bancaria de la víctima. Con esos datos, los ciberdelincuentes pueden:
- Abrir nuevas cuentas bancarias
- Realizar transferencias
- Operar en Internet con los datos bancarios, por ejemplo, realizando compras online.
- Dar de alta nuevas líneas telefónicas, además de luz, gas o suministro del agua.
La contratación de nuevas líneas de telefonía, suplantando la identidad de la víctima, es, sin duda, la situación más habitual. Muchas veces no es ni necesario disponer del número de cuenta, la operativa es más sencilla: se consigue nombre, apellidos, DNI y dirección de facturación de la víctima y mediante una llamada se da de alta la nueva línea. En estos casos, se da un número de cuenta bancaria desde el que no realizan los pagos. Esto genera una importante deuda para la víctima.
Los suplantados se enteran de esta situación cuando reciben la factura con el cargo o cuando van a contratar una nueva línea y les informan que tienen una deuda. Estas situaciones han llevado en numerosas ocasiones a los afectados a ser incluidos en los conocidos como “ficheros de morosos”.
El alta de suministros o realizar operaciones bancarias no son los únicos peligros del phishing.
Denuncia si han robado tus datos personales con un email phishing
En los últimos meses se han detectado numerosos casos cuyo fin es secuestrar los equipos y pedir un rescate. Son malwares que llegan como adjuntos y que al descargar y ejecutarse consiguen hacerse con el control del ordenador. Esta técnica es utilizada tanto para secuestrar los equipos y pedir un rescate, como para acceder a enorme cantidad de datos guardados en los equipos.
Si ya has caído en cualquiera de los engaños que circulan a través de los correos electrónicos, te recomendamos que denuncies. En cuanto seas consciente de que has sido víctima de phishing, acude a la Policía o Guardia Civil y pon una denuncia. Con ella, es aconsejable acudir a la entidad bancaria para poner en su conocimiento la situación. Estas dos acciones facilitarán la posterior reclamación si terceras personas hacen un uso indebido de los datos personales.
Como afectado, también puedes comunicar la situación a la Oficina de Seguridad del Internauta (OSI). Este organismo depende del Ministerio de Energía, Industria y Turismo.
Y, por supuesto, cambia todas las contraseñas lo antes posible. Recuerda no utilizar siempre la misma clave y que incluya números, mayúsculas y minúsculas.