¿Cómo detectar el phishing? Consejos y prevención

por | Ago 12, 2021 | Noticias | 0 Comentarios

Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito.

El phishing es una técnica de engaño que utilizan los piratas informáticos para robar nuestros datos personales y bancarios a través de la página web falsa de alguna institución oficial como la Agencia Tributaria, nuestro banco o cualquier empresa o tienda que consideraríamos de total confianza.

 

Cómo detectarlo

  •  Desconfía de los correos electrónicos que solicitan datos personales. Los mensajes de phishing siempre incluyen una excusa para solicitar información de las víctimas. Algunos de los más comunes son: facturas no pagadas o doble facturación de un servicio, problemas técnicos, accesos anómalos en las cuentas, fallos de seguridad, promociones de productos…
  • Los mensajes dan algún tipo de ultimátum. Presionan a la víctima con plazos cortos para que envíen sus datos, a riesgo de una multa económica, perder el acceso a la cuenta, o cualquier otro motivo.
  • Fíjate en el emisor. La dirección de correo desde la que se envía no suele corresponderse con el dominio de la empresa que están suplantando. Compruébalo, busca el dominio real de esa entidad (www.compañía.com).
  • No suelen estar personalizados. Suelen empezar con frases del tipo: “estimado cliente”, y en algunas ocasiones aparece la dirección de e-mail de la víctima de forma automatizada, pero rara vez incluyen el nombre de la víctima.
  • La redacción suele tener fallos o alguna incongruencia. Las técnicas han mejorado notablemente. Antes, los mensajes de phishing tenían muchas faltas de ortografía y fallos gramaticales, ahora la mayoría están más cuidados. Aún así, si nos fijamos bien en los detalles, detectaremos en muchos de los casos pequeños errores en la redacción, que no debería tener una empresa seria como la que supuestamente nos lo está mandando.

 

Consejos y prevención

  • Por regla general, desconfía de quien solicite información personal. Un banco o empresa nunca va a solicitar datos personales o financieros por correo electrónico. Ante la duda, haz una llamada a la entidad bancaria o servicio y asegúrate.
  • ¿Realmente eres cliente de ese servicio? Muchas veces, por las prisas o el temor a que ocurra algo, las víctimas caen en el engaño sin ser siquiera usuarios del servicio o la compañía que les está enviando supuestamente ese correo. Piénsalo con calma antes de actuar.
  • No accedas a los enlaces de un correo electrónico sospechoso. Si te genera dudas, accede a la web de la empresa a través de la barra de direcciones del navegador o el buscador, escribiéndolo tú mismo.
  • Si llegas a acceder al enlace, comprueba la URL. Verifica si la dirección de la web a la que redirige concuerda y es la que dice ser.
  • Si incluye algún archivo adjunto, nunca lo descargues ni lo abras. Puede contener un software malicioso que se instale en el ordenador.
  • Evita acceder a enlaces que han sido acortados y no sabes a dónde te están dirigiendo. Sobre todo se usan a través de apps de mensajería y redes sociales.
  • Precaución también en el móvil. Existe una falsa creencia de que en los dispositivos móviles, como nuestro smartphone, podemos acceder libremente a cualquier web o enlace y “no pasará nada”. Al contrario, el phishing está muy presente en ellos; de hecho hay campañas exclusivas para ellos, como las enviadas a través de apps de mensajería o SMS.
  • Si detectas que es un caso de phishing, ignóralo. Y en su caso, informa a las autoridades.

 

Existen técnicas que permiten suplantar la dirección de e-mail de una persona, una de las más usadas se denomina e-mail spoofing. Aparentemente el remitente del correo es “clientes@empresaelectrica.com”, pero en realidad se está enviando desde la dirección “x5689@fraude.net”. Se trata de una técnica de engaño o suplantación: se coloca un nombre y una dirección de correo falsa en el campo del remitente del mensaje. Puede colocarse una dirección real, una inventada o una temporal.

Controlar este ataque depende de los proveedores que alojan el correo electrónico, que deben tener activados mecanismos de seguridad en sus servidores.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *