Cada vez es más habitual encontrar en nuestro correo electrónico o mediante mensajes enviados a nuestros dispositivos, comunicaciones de diferentes entidades, como bancos, redes sociales, entidades públicas.
Gran parte de esas comunicaciones se basan en legítimas y legales nuevas vías de negocio para dichas entidades. Pero también se ha convertido en una nueva vía de los ciberdelincuentes para obtener datos del usuario descuidado.
¿De qué estamos hablando?: phishing
El phishing, que en inglés hace referencia al termino pescar, consiste en el envío por parte del delincuente de un correo electrónico, mensaje de texto, o incluso mensajes intercambiados a través de aplicaciones de mensajería instantánea, simulando, suplantando, ser una entidad legítima con el único objetivo de acceder a sus datos y robar información privada.
¿Cuál es el anzuelo?
El abogado de ARAG, Gonzalo Oriente, detalla que la inmensa mayoría de las estrategias utilizadas por el ciberdelincuente a la hora de justificar el envío de la comunicación que acabamos de recibir descansa en la falsa necesidad que tiene la entidad suplantada de confirmar sus datos personales; normalmente, utilizando la excusa de confirmaciones de privacidad, fallos en el sistema o incluso haber sido premiados en un ficticio concurso.
¿Cómo no morder el anzuelo?
En primer lugar, y como no podría ser de otra manera, extremando la precaución. Toda comunicación que recibamos de las grandes corporaciones (Facebook, correos, entidades financieras etc.) deben ponernos en alerta.
Una vez recibido la comunicación, hay cuatro aspectos esenciales de fácil comprobación que nos harán saber si estamos siendo “tentados” por el anzuelo del delincuente.
- Si el encabezamiento de la comunicación utiliza expresiones tales como: “Estimado cliente” o similares, deberemos sospechar.
- Ante cualquier comunicación que requiera tomar una decisión inminente. Las empresas no actúan de hoy para mañana y en su caso sería notificado por conductos oficiales tales como su propia página web.
- Otro elemento definitivo será si existen errores gramaticales, querrá decir que han utilizado un traductor automático. Ninguna empresa de cierta reputación envía mensajes llenos de faltas de ortografía.
- Ninguna gran empresa utilizará dominios ajenos a las direcciones corporativas. Los correos electrónicos no corporativos deben alertarnos.
¿Qué hacer si ya hemos sido víctimas?
Si ya hemos sido víctimas, muy especialmente en casos relacionados con el phishing bancario, “deberemos contactar con nuestra entidad para comunicarles lo sucedido y modificar las contraseñas del servicio afectado”. Posteriormente, recopilar toda la información posible, como email recibido, comunicaciones realizadas, capturas de pantalla, etc.
Inmediatamente se deberá poner el caso en conocimiento de los Cuerpos y Fuerzas de Seguridad del Estado para formalizar la correspondiente denuncia.
Mucho cuidado al Phishing telefónico
Tal y como hemos informado, cualquier compañía es susceptible de ser “sustituida” por ciberdelincuentes; si bien parece que en los últimos tiempos las compañías telefónicas están en el foco de los ataques. Básicamente “están utilizando como “anzuelo”, o bien actualizaciones de nuestra cuenta de correo o, mediante el mismo medio, una invitación para realizar las siempre tediosas encuestas de calidad bajo la falsa promesa de un teléfono de última generación o similar”.
El experto añade que “nada de lo prometido se acaba cumpliendo e incluso nuestros datos pueden ser utilizados para suscripciones de servicios diversos, con coste adicional y puede llegar a convertirse en una odisea darlos de baja mediante denuncia y actuación con el banco para devolver los recibos”.