Portal web del Ayuntamiento de Madrid

Entre los riesgos con los que nos podemos encontrar cuando hacemos uso de Internet se encuentra el phising, una técnica usada por los/las ciberdelincuentes para obtener información personal y bancaria de las personas usuarias suplantando a una entidad legítima, como puede ser un banco, una rec social, una entidad pública, etc.

Se trata de una técnica de ingeniería social que utiliza cualquier sistema que permita el envío de mensajes, con el fin de redirigirnos a páginas web fraudulentas que simulan ser legítimas de un determinado servicio o empresa para, de esta forma, intentar robar nuestra información personal. 

El objetivo es intentar asustar a la persona usuaria e instarle a actuar según las indicaciones del mensaje. Siempre añaden una excusa, ejemplo “problemas técnicos o de seguridad”, y proporcionan una solución sencilla del tipo “acceda a su banco utilizando este enlace”. Además, es muy habitual que soliciten nombre de usuario/a, claves y otros datos de acceso a las cuentas, práctica que las entidades legítimas nunca llevarían a cabo.

RECOMENDACIONES PARA DETECTAR POSIBLES CASOS DE PHISING

• Los/las delincuentes que realizan las campañas de estafa, en ocasiones son extranjeros, y deben por tanto traducir sus mensajes al español, en general con errores. Estos errores en la traducción aparecen en forma de:
  • Fallos semánticos: artículos “el” o “la” intercambiados.
  • Palabras con símbolos extraños: donde deberían estar palabras acentuadas como por ejemplo: “DescripciÃ?n”. Este caso aparece al intentar escribir vocales acentuadas en un teclado no español.
  • Frases mal construidas.
• Si detectamos que el correo tiene una ortografía pobre y su escritura es informal, debemos estar alerta.
• Si se quiere estafar a cientos de miles de personas, es muy complicado saber el nombre de todas esas personas. Por ello, utilizan fórmulas genéricas como “Estimado cliente”, “Hola”, “Hola amigo”, etc. para evitar decir un nombre. Por ello, si recibimos un correo no personalizado, estamos probablemente ante un caso de intento de estafa.
• Otra técnica utilizada por los/las delincuentes es la de pedir la realización de una acción en un período de tiempo muy corto: “Una vez emitido este correo electrónico, tendrá un plazo de 8 horas para llevar a cabo dicha acción, de lo contrario…”. Con esta urgencia, los delincuentes intentan que su víctima tome una decisión precipitada y caiga en la trampa, que incluye visitar un enlace e indicar datos personales y/o contraseñas. Este es otro síntoma que nos hace sospechar que el mensaje recibido ha sido enviado por un delincuente.
• La intención de los/las delincuentes es que pinchemos en un enlace para llevarnos a un sitio web fraudulento. En el texto del mensaje hay un enlace que en lugar de llevarte a la web oficial, página legítima, te lleva a otra fraudulenta que estéticamente es igual o muy parecida. Para comprobar la verdadera dirección a la que apunta un enlace situaremos el puntero encima del enlace y observaremos así la verdadera dirección que se muestra en la parte inferior izquierda del navegador.
• El hecho de que el correo provenga de un correo aparentemente correcto no es indicio concluyente de la legitimidad del mismo. El remitente de un correo electrónico puede ser manipulado y los delincuentes son capaces de enviar correos con el remitente falsificado en nombre de entidades.

MEDIOS UTILIZADOS PARA PROPAGAR PHISING

El principal medio de propagación del phishing es el correo electrónico, pero que sea el método más utilizado no implica que sea el único. También pueden utilizarse otros medios como redes sociales, sistemas de mensajería instantánea, etc. Por cualquiera de estas vías es muy sencillo enviar un mensaje que contenga un enlace que nos redirija a un sitio fraudulento.

CÓMO ACTUAR SI DETECTAS PHISING

1. No facilites la información que te solicitan ni contestes en ningún caso a estos mensajes. En caso de duda consulta directamente a la empresa o servicio que supuestamente representan a través de sus canales oficiales.
2. No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento adjunto que puede contener, podría tratarse de malware.
3. Elimínalo y si puedes, alerta a tus contactos sobre este fraude para que ellos no caigan tampoco en la trampa. 

En caso de haber sido víctima de un fraude de tipo phishing, recopila toda la información que te sea posible: correos, capturas de conversaciones mediante mensajería electrónica, documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de evidencias.

Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo sucedido con tu cuenta online. Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilizases la misma clave de acceso que para el servicio de banca online. Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de forma segura las contraseñas para evitar problemas.

A continuación, presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.