InicioNoticias Sin categoríaPhising y smishing: qué son y cómo actuar.

Phising y smishing: qué son y cómo actuar.

 ¿Qué es el phising?

El phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.

¿Cómo identificar una campaña de phishing?

Las campañas fraudulentas de tipo phishing suelen contar con varios factores comunes que, gracias a su identificación, es posible detectarlas y evitar que puedan afectar a la seguridad de nuestros datos personales:

  1. Analizar el remitente. Los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Este es el primer indicador que ha de comprobarse. En otras ocasiones, los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente, haciendo que parezca proceder de la entidad legítima cuando en realidad no es así.
  2. Generar sensación de urgencia. Se indican las amenaza a las que tendrán que hacer frente a no ser que sigan las instrucciones que facilitan, siendo generalmente éstas acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc. Por ejemplo, durante la pandemia provocada por el COVID-19 los ciberdelincuentes se adaptaron para utilizar señuelos basados en esta temática y cualquier aspecto que pudiera englobarla, como los ERTE o ayudas gubernamentales.
  3. Enlaces falseados. Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas online.
  4. Comunicaciones impersonales. Las comunicaciones de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.
  5. Errores ortográficos y gramaticales. Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado. 

La nueva práctica del smishing

El engaño del phishing por SMS (smishing) consiste en enviarte un mensaje SMS o MMS a tu móvil haciéndose pasar por un banco del que eres cliente. En otras ocasiones puede tratarse de una empresa de mensajería que te informa de un problema de aranceles aduaneros con el envío que tienes pendiente de recibir. O de un servicio público o privado conocido por todos y de los que casi todos somos clientes, que necesita actualizar tu información personal.

En el caso del mensaje bancario, si aciertan con tu entidad, el mensaje te informará de que tu cuenta personal bancaria se va a cancelar o está bloqueada y necesitas actualizar tu contraseña. Y que para desbloquearla, debes hacer clic urgentemente en una URL corta que incluye el mensaje SMS.

 

Entrenamiento anti-phising

 Aprende con ejemplos prácticos haciendo clic aquí

Cómo actuar si detectas un phising

  1. No facilites la información que te solicitan ni contestes en ningún caso a estos mensajes. En caso de duda consulta directamente a la empresa o servicio que supuestamente representan a través de sus canales oficiales. También puedes ponerte en contacto con la OSI (Oficina de Seguridad Informática), y hacerle llegar tu consulta.
  2. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto que puede contener, podría tratarse de malware.
  3. Elimínalo y si puedes, alerta a tus contactos sobre este fraude para que ellos no caigan tampoco en la trampa.

Cómo actuar en caso de ser víctima de un phising

  1. En primer lugar, recopila toda la información que te sea posible: correos, capturas de conversaciones mediante mensajería electrónica, documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de evidencias.
  2. Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo sucedido con tu cuenta online. En caso de que necesites poner una reclamación puedes hacero a través de la oficina de atención al cliente de la entidad y, si ésta no fuera atendida en el plazo de un mes, puede formularse una reclamación ante el Banco de España.
  3. Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilizases la misma clave de acceso que para el servicio de banca online. Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de forma segura las contraseñas para evitar problemas.
  4. Presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Si quieres conocer más detalles, visita  la sección Reporte de Fraude de la OSI para saber cómo actuar.

 

 

Derechos Reservados |
 Contacta |
 Dónde Estamos |
 Protección de Datos