Hoy en día, cada vez hacemos más uso de los medios online para comunicarnos, consumir contenido de entretenimiento o incluso para estudiar y trabajar. A medida que aumentamos el uso de las tecnologías digitales, también debemos incrementar las precauciones que tomamos para que nuestra navegación por Internet sea siempre segura.
Para facilitar esta tarea, en este artículo te explicamos qué es el phishing, uno de los riesgos que más frecuentemente podemos encontrar en la red. Además, también te detallamos cómo puedes identificarlo y te mostramos algunas buenas prácticas de ciberseguridad que seguro que te ayudan a combatirlo fácilmente.
¿Qué es el phishing?
El phishing procede de una variación de la palabra inglesa «fishing» (pescar), ya que la o el ciberdelincuente navega por la red con la intención de “pescar” la información privada de las personas internautas. Estas pueden enfrentarse a numerosos problemas al dejar expuesta su información confidencial:
- Robo de datos personales: contraseñas en cuentas de todo tipo, dirección, etc.
- Pérdidas económicas: en personas que realizan compras por Internet sin tomar medidas de seguridad.
- Suplantación de cuentas: sobre todo en redes sociales.
Si lo piensas, igual que ocurre con la pesca, para que esto se produzca la persona objetivo debe “morder el anzuelo”. ¿Qué significa esto? Pues que este tipo de ataques consiguen entrar a los ordenadores y teléfonos móviles, sencillamente, porque se les «abre la puerta» a que se introduzcan en el dispositivo; por ejemplo, mediante un comportamiento de riesgo o con una seguridad deficiente en el dispositivo.
Por suerte, está en nuestra mano contribuir a que esta amenaza desaparezca. No se trata de abandonar el uso de Internet, sino de todo lo contrario. La clave está en acostumbrarnos a emplear los dispositivos electrónicos y a conectarnos de una forma segura y responsable, tomando las precauciones adecuadas.
¿Cómo puedes sufrir tú un ataque de este tipo?
La mejor manera de evitar ser víctima de phishing es saber cómo actúan las personas ciberdelincuentes que realizan este tipo de prácticas y cuidar la protección de nuestros dispositivos. Por ello, te explicaremos cómo pueden entrar a tu teléfono móvil, tu tableta o tu ordenador.
Por correo electrónico
Seguramente, habrás visto cómo llegan a tu bandeja de entrada numerosos correos. Muchos de ellos pueden pertenecer a tus entidades contratadas (facturas de luz, agua, etc.). Otros, en cambio, pueden contener promociones en las que te has registrado en las tiendas. Pero ¿y qué pasa con los que tú no has «pedido»?
El mecanismo de entrada más común de este fraude es el correo electrónico. Se trata de un mensaje que aparentemente es normal, pero que contiene un enlace algo sospechoso. Erróneamente, un día decides abrirlo a ver dónde te lleva y acabas en una página que, sin pedirte permiso, te descarga un archivo infectado de virus.
Afortunadamente, no basta con que el correo llegue a tu ordenador. Para infectar tus dispositivos, es necesario que lo abras y que cliques en el enlace que aparece.
Por llamada telefónica
Esta práctica adquiere el nombre de vishing cuando se realiza mediante una llamada. En este caso, no es algo tan automático, puesto que hay una persona al otro lado de la línea que está ejecutando ese ataque.
A través de esta técnica, la persona ciberdelincuente te puede hacer creer que es una empresa de, por ejemplo, el gas. Para hacerte una factura supuestamente más competitiva, te pide varios datos. Como las llamadas de venta son muy comunes es habitual facilitar el tipo de datos solicitados. Lo más común es que solo te pidan tu nombre, tus apellidos y el DNI. Con esta información, les basta para suplantar tu identidad donde lo deseen.
Para evitar caer en esta práctica basta con evitar facilitar datos personales por teléfono a no ser que hayas contactado tú directamente con la empresa por un canal oficial.
Por mensaje de texto
Los mensajes de texto (SMS) quedaron atrás con la llegada de las aplicaciones gratuitas de mensajería instantánea. No obstante, todavía seguimos comunicándonos por esta vía con centros médicos, tiendas y demás entidades similares. Además, muchas veces recibimos publicidad de compañías telefónicas por este canal.
Esta situación se denomina smishing, y funciona de un modo muy parecido a los ataques por correo electrónico. Nuevamente, nos llega un mensaje (esta vez un SMS) con un enlace. Si clicamos en este enlace sospechoso podemos estar poniendo en peligro nuestros dispositivos y la información personal que almacenamos en ellos.
Por una página web falsa
Una persona ciberdelincuente puede suplantar una página que tú consultas diariamente para entrar en tu dispositivo. De esta forma, la simulan en aspecto y contenido para que te cueste notar la diferencia. Por supuesto, siempre es posible detectar algunas diferencias que nos ayuden a identificar la suplantación.
Por redes sociales
Las redes sociales tampoco están exentas de ataques como el phishing. Muchas veces, se aprovechan de la confianza de las personas usuarias para entrar en su sistema. Para ello, pueden suplantar el perfil de uno de tus contactos de un modo muy realista, con el mismo nombre, foto de perfil y biografía.
Cuando esta supuesta persona conocida se ha acercado a nosotros mediante una solicitud de contacto, enviará un mensaje con un enlace para que, al clicar en él, accedamos al sitio web malicioso o aceptemos instalar algo en el dispositivo. De las vías que hemos comentado, esta es la que más popularidad está ganando, pero también es la más sencilla de verificar.
¿Cómo prevenir el phishing?
Por suerte, puedes emprender buenas prácticas para que las personas ciberdelincuentes no tengan cabida en ninguno de tus dispositivos. Antes de enseñarte cómo hacerlo, vamos a pedirte que pienses en algo que has aprendido en este artículo sin darte cuenta: ¿Cuál es el punto que tienen en común todas las vías de ataque que te hemos comentado? En efecto: la confianza.
Cuando vas por la calle o entras en una tienda, nunca confías a la primera de cambio en lo que te comentan. Entonces ¿por qué ibas a hacerlo en Internet? Para evitar riesgos te proponemos que guíes tu actuación en la red por tres criterios:
- Control.
- Cautela.
- Colaboración.
Actuar con control implica saber en qué página web estás entrando o a quién le estás contestando ese correo. Por su parte, la cautela requiere que no hagas clic en enlaces que no conoces o que no le des tus datos a personas desconocidas. En último lugar, la colaboración es básica para que los ciudadanos y ciudadanas podamos alertar a las autoridades ante un intento de ataque.
Para una seguridad mayor, la Guardia Civil recomienda tener un antivirus instalado y actualizado.
Evita sufrir ataques por SMS y correo electrónico
Un correo electrónico o un SMS fraudulento suele presentar varios síntomas que tú puedes aprender a identificar. Desconfía si trata alguno de los siguientes temas:
- Confirmación de una cuenta en una página web a la que no has accedido.
- Notificaciones de Hacienda (ni la Agencia Tributaria andaluza ni la española piden datos por estas vías).
- Circulares laborales dirigidas a todos los trabajadores y trabajadoras.
También es importante que elimines los correos o mensajes que tengan un enlace sospechoso o una imagen corporativa de mala calidad. Igualmente, las faltas de ortografía o los mensajes incoherentes son claros indicios de que algo no va bien.
Protégete frente al vishing y el fraude por redes sociales
Una llamada fraudulenta puede tener numerosos síntomas diferentes. El más importante lo puedes detectar al saber quién te está llamando (supuestamente). Te dejamos algunos ejemplos:
- Una empresa de suministro: te pide que descargues una aplicación para hacerte un reembolso.
- Un banco: requiere tu número de cuenta o de tarjeta para hacer unas validaciones.
- Una entidad oficial: como puede ser la policía para identificarte por teléfono.
En las redes sociales, puedes prevenir el phishing no aceptando solicitudes de amistad de personas desconocidas. A su vez, debes desconfiar de mensajes que contengan afirmaciones como las siguientes (que frecuentemente contienen enlaces):
- «¿De verdad eres tú quien sale en este vídeo?»
- «¡Felicidades! Eres el cliente número 1000 y has ganado un sorteo».
- «Para que puedas seguir usando tu cuenta, necesitamos verificar tu identidad».
Detecta páginas web fraudulentas
Sabrás que una web es falsa cuando no tenga estos tres aspectos:
- El icono del candado al lado de la dirección: Significa que la página tiene un certificado de seguridad.
- El término «https» (ojo, no «http») al comienzo del enlace: Implica que tus datos no están expuestos.
- El aviso legal en uno de sus apartados: Todas las webs están obligadas por ley a identificar a su responsable.
Las webs de banca online son, por su propia naturaleza, las más seguras. Sin embargo, también pueden haber sido suplantadas, por lo que siempre es recomendable que llames a la entidad si tienes dudas sobre la veracidad.
En definitiva, el phishing es una práctica que podemos y debemos combatir. Internet es un lugar seguro que puedes utilizar con total tranquilidad siempre y cuando tomes estas sencillas precauciones. Te animamos a seguir descubriendo más contenido sobre la seguridad en las nuevas tecnologías en los demás apartados de esta Guía de Ciberseguridad.