El Phishing, es una técnica que utilizan ciberdelincuentes para hacerse con datos personales, bancarios e incluso robarnos. A este engaño se han sumado, desde hace tiempo, el Smishing y el Vishing con la misma finalidad, lo único que diferencia unas de otras es el modo de operar. Por eso te vamos a contar cómo funciona cada una de estas estafas de suplantación de identidad, también conocidas como spoofing, para que las reconozcas en seguida y puedas evitar ser engañado.
Índice de contenidos
En cualquiera de las 3 modalidades la operativa es la misma, suplantar la identidad de una tercera persona y/o entidad de confianza para lograr que se caiga en el engaño.
Cómo funciona el Phishing
En el caso de Phishing el medio utilizado es el correo electrónico, se envían emails suplantando la identidad de alguna empresa. Estos correos suelen tener una apariencia calcada a la que enviaría la empresa en cuestión copiando su logotipo, diseño, e incluso en algún caso la tipografía y el tono de los correos electrónicos.
El mensaje suele ser del tipo reclamar el pago de una factura pendiente, devolución de un dinero, pago de un premio…y acostumbran a transmitir cierta urgencia, es decir, un plazo para llevar a cabo la gestión, además, van acompañados de un enlace al que instan clicar y que lleva a la página donde se produce la estafa.
A través de este medio los hackers intentan obtener información personal sensible como datos personales y bancarios.
Cómo identificar el engaño mediante Phishing
Para evitar este tipo de engaños es importante tener en cuenta una serie de consideraciones:
- Las empresas nunca solicitan los datos de tarjeta bancaria, credenciales o datos personales por correo electrónico.
- Desconfiar de cualquier correo electrónico donde se cometan varias faltas de ortografía o gramaticales, cuyo remitente sea sospechoso o que no tenga el logo de la empresa si se trata de cierta entidad.
- Buscar ligeras diferencias en la dirección del remitente: un cero podría parecer una “o”.
- Evitar pulsar enlaces en correos electrónicos, aunque hayan sido recibidos de una dirección en la que confiemos. Antes, verificar con el remitente que él ha sido el que lo ha enviado.
- Evitar, en la medida de lo posible, introducir usuario y contraseña en páginas cuya dirección no haya sido escrita por nosotros en la barra de direcciones del navegador
- Si nos piden usuario y contraseña en una página, comprobar que la dirección que aparece en la barra de direcciones es correcta y está bien escrita.
- Cambiar con frecuencia las contraseñas de acceso a los servicios que usamos. No usar la misma contraseña en varios servicios.
- Usar la validación en dos pasos que ofrecen la mayoría de servicios.
- Utilizar contraseñas de buena calidad que tengan las siguientes características:
- Tener una longitud superior a 8 caracteres.
- Estar formadas por una combinación intercalada de mayúsculas, minúsculas, números y caracteres especiales (como ~!@#$%^&*()_+=?><.,/).
- Evitar palabras que se encuentran en diccionarios, expresiones coloquiales y/o cadenas evidentes (123456, qwerty…).
- No utilizar fechas o palabras relacionadas con nosotros mismos (como el nombre de una mascota, apellidos o fechas de nacimiento).
Cómo funciona el Smishing
En el caso del Smishing, la estafa se lleva a cabo mediante mensaje, ya sea a través del sistema de mensajería corta que ofrecen las operadoras (SMS) o bien desde las diferentes plataformas de mensajería instantánea, especialmente WhatasApp.
El objetivo sigue siendo el mismo, obtener datos personales, clicar sobre un enlace, y en este caso también descargar aplicaciones que pueden acabar tomando el control del móvil.
A diferencia del Phishing, aquí los ciberdelincuentes no necesitan desplegar tantos recursos con la apariencia porque un SMS es más sencillo y corto que un correo electrónico y además, técnicamente es más sencillo (y se hace mucho) suplantar al remitente legítimo.
El factor común es que también suele ser un mensaje de urgencia donde solicitan que se haga clic en un enlace o que se llame a un número de teléfono para verificar o actualizar los datos personales o incluso reactivar la cuenta.
Por supuesto, en el caso del enlace, llevará a una página falsa o a la descarga de una app que será maliciosa con un troyano (malware), y si lo que piden es llamar a algún teléfono, esa llamada será atendida por un estafador que suplante la identidad de una empresa. En todos los casos, una vez más, el objetivo es robar datos.
Cómo saber si un SMS es una estafa
Para evitar ser engañado mediante la técnica del Smishing es importante tener en cuenta:
- Nunca fiarse de los enlaces incluidos en los SMS que se reciben, incluso aunque en el remitente escriba «Seur»/”Fedex”/… o cualquier otra entidad.
- Instalar únicamente apps directamente desde Play Store y así evitar descargar aplicaciones con malware.
- Al instalar aplicaciones, prestar especial atención a los permisos que se conceden a las apps descargadas: SMS, contactos, internet, realizar llamadas, etc. ¿Son realmente necesarios esos permisos para la funcionalidad de la APP?
- Utilizar Antivirus en el dispositivo: Bitdefender, Malwarebytes, Kaspersky, McAfee…
- Mantener el dispositivo siempre actualizado a la última versión.
Cómo funciona el Vishing
La última de todas estas tretas y de la cual alertábamos recientemente desde Movisfera, es el Vishing, más conocido como el timo de la doble llamada. Aquí los estafadores realizan llamadas donde se hacen pasar por operadoras móviles o empresas de servicio como está pasando con el servicio técnico de Microsoft, con la finalidad de sustraer información personal o hacerte cambiar de compañía.
La forma de operar de este engaño es mediante dos llamadas, una primera donde se presentan como la actual compañía móvil o de suministros, informando de una subida de precios inminente sobre la tarifa contratada y una segunda llamada donde se hacen pasar por otra compañía que ofrece una mejor oferta comercial al contratar sus tarifas.
Cómo identificar una llamada falsa de vishing
En este último caso, estas son algunas de las consideraciones a tener en cuenta:
- Saber que tanto las operadoras móviles como las empresas de suministro, por normativa legal, tienen que comunicar por escrito a los clientes los cambios de condiciones, variaciones de tarifas incluidas. Todo ello debe comunicarse en un plazo mínimo de 30 días sobre la fecha prevista para esas modificaciones y suelen ser comunicaciones escritas y no telefónicas.
- Si se reciben dos llamadas en el mismo día o muy seguidas relacionadas con el mismo tema, lo mejor es sospechar.
- Tener en cuenta si la nueva empresa se identifica.
- Anota el número desde el que llaman e indicar que devolverás la llamada.
- Buscar el número de teléfono de la empresa y contactar con ellos directamente.
En cualquier caso, ante cualquier sospecha es bueno comprobar en internet si existe algún tipo de engaño de este tipo, hoy en día, estas estafas en seguida corren por la red.
Dónde denunciar los fraudes por internet, SMS o llamadas, ataques de Phishing, Smishing o Vishing
En otro artículo ya te hablamos de este punto y de la importancia de denunciar estas estafas, por lo que nos parece importante recodarte las medidas a tener en cuenta para evitar este tipo de engaños. Recuerda que, para denunciar, cuanta más información se le pueda facilitar a las autoridades pertinentes, mucho mejor.
Servicio Conexión Segura de Movistar
Recuerda que el Servicio de Conexión Segura de Movistar puede ayudar a evitar este tipo de fraudes, pues ofrece protección por reputación de dominio, lo que permite identificar si la página a la que se va a acceder es potencialmente de riesgo o no.
En el caso de un SMS, al hacer clic en la url que se indica, el servicio analiza la reputación de esa web y si es de riesgo, notifica al momento al cliente y de forma online cuando se intenta abrir la página.
