El phishing es uno de los términos más utilizados cuando se habla de ciberseguridad. Y es que se encuentra entre los métodos preferidos por los hackers y ciberdelincuentes, por la ‘facilidad’ con la que pueden obtener sus objetivos maliciosos.
El modus operandi consiste en hacerse pasar por otra persona o empresa para obtener información confidencial de forma fraudulenta, como contraseñas o datos bancarios.
Aunque los servicios de correo electrónico pueden ayudar a que estos mensajes no lleguen a su destinatario, el phishing puede entrar por diferentes vías (SMS, llamadas, redes sociales…), por lo que depende principalmente del sentido común del usuario.
Para aprender a detectarlo y protegerse de él existen algunas recomendaciones comunes que se pueden seguir.
Los objetivos del phishing
El propósito principal es robar información. Con ella, los atacantes pueden, en el caso más leve, enviar publicidad sin el consentimiento de la víctima. Los casos de gravedad incluyen vender estos datos personales a terceros, realizar una suplantación de identidad o estafa a nombre de la persona que ha caído en la trampa e incluso robar dinero con la información obtenida de su cuenta bancaria o sus tarjetas de crédito.
Cómo protegerse del phishing
Lo primero que hay que hacer es identificar al remitente. No hay que confiar solo porque el nombre nos resulte familiar, ya que esto lo puede falsear cualquier persona. Una buena forma de saber si el remitente es quien dice ser es fijarse en el dominio que aparece después del @ en caso de un correo electrónico o de la URL completa si se trata de un enlace. En caso de dudas, se puede contactar con la persona o empresa que supuestamente está enviando dicha información, para verificar la información. También relacionado con el dominio, hay que fijarse si comienza con ‘https://’ en lugar de ‘http://’. La ese indica que cumple con los protocolos básicos de seguridad.
Nunca hay que proporcionar información privada y sensible, como el PIN de una tarjeta de crédito o claves de acceso a la banca. Una entidad bancaria nunca lo pedirá a través de un correo electrónico.
Si el email contiene enlaces, lo mejor es entrar de forma manual en la página en la que supuestamente está la información a la que se quiere acceder, nunca pinchando en ellos.
También es interesante mantener actualizados los sistemas operativos y antivirus, para que sean capaces de identificar este tipo de estafas.
Y, por supuesto, utilizar el sentido común. Este siempre será el mejor cortafuegos. Este tipo de ataques pueden llegar por cualquier vía: un correo electrónico, un WhatsApp, una llamada telefónica, una publicación en redes sociales…
¿Qué hacer si ya se ha caído en la trampa?
En ocasiones ya es tarde y el usuario se da cuenta de que ha proporcionado su información a un atacante. ¿Qué hacer en este caso? El primer paso es cambiar las contraseñas, tanto la que se ha proporcionado durante la estafa como las de cualquier otro sitio web en el que se esté utilizando la misma. De hecho, lo más sensato es tener un gestor de contraseñas que permita tener un password aleatorio en cada sitio. Si se han dado los datos de la tarjeta de crédito, hay que comunicárselo automáticamente al banco para que haga los bloqueos oportunos.
Si se detecta recepción de spam, podría bastar con bloquear al remitente de esta publicidad no deseada, añadiendo el teléfono o el email a una lista negra.
Hay que tener en cuenta también que muchas de estas estafas incluyen enviar el mismo mensaje a nuestro nombre a todos los contactos para contribuir a que otros piquen, por lo que no estaría de más avisar mediante un correo electrónico o un WhatsApp si se sospecha que esto puede suceder, para que a otros no les pase lo mismo.
Por Noelia Hontoria
Imágenes | Michael Geiger en Pixabay | Robinraj Premchand en Pixabay
