¿Para qué usas las redes sociales? En mi caso, para informarme, entretenerme y a veces malgastar el tiempo, conocer gente interesante, aprender y por qué no decirlo, para satisfacer un poquito mi lado exhibicionista. Sé que no estoy sola en esto, porque veo cómo gente de mi gimnasio se hace fotos en pleno entrenamiento y las sube o el ya mítico y un pelín repulsivo 'aquí, sufriendo' cuando estamos de vacaciones. No estamos aquí para juzgar, pero se da una curiosa paradoja: la de preocuparse por la privacidad (o escasez de esta) por culpa de la tecnología y al mismo tiempo regalamos información personal valiosa. La Guardia Civil ha detallado qué información no deberíamos facilitar nunca en internet y tenemos malas noticias: es probable que ya lo hayas hecho.

Hace unas semanas la Guardia Civil lanzaba en su cuenta oficial de X/Twitter una publicación que debería hacernos pensar dos veces antes de subir contenido a nuestras redes sociales porque estamos dando demasiada información sensible y confidencial que puede usarse con fines delictivos. Así, puede servir para adivinar contraseñas, abrir las puertas al phising o saber cuándo estás o no estás en casa. Con esta publicación, la Guardia Civil ha resumido una advertencia que el Instituto  Nacional de Ciberseguridad ya había lanzado hace un tiempo pero cuyo peligro sigue estando en plena actualidad.

Lo que no debes publicar en redes sociales

Uno de esos datos aparentemente inofensivos pero que puede volverse en nuestra contra es la fecha de nacimiento. Si bien es cierto que es un dato que puede encontrarse fácilmente incluso por culpa de las redes sociales, que almacenan esta información y que en ocasiones permiten una configuración tal que este dato sea público para que, al ser nuestro cumpleaños, recibamos felicitaciones. ¿El problema? Que hay personas que usan su fecha de nacimiento en contraseñas.  En este sentido, aunque aparezca dentro de los formularios para crearnos un perfil, lo suyo es ocultar este dato siempre que sea posible.

Otro dato sensible y que puede resultar crítica es la ubicación actual, lo que permite conocer tus rutinas sin demasiado esfuerzo, lo que puede resultar peligroso tanto para un ataque físico como para posibles robos. No hay como publicar que vas a estar toda la semana de vacaciones para dar margen a los amigos de lo ajeno para que entren en tu casa. 

La Guardia Civil y el INCIBE avisan de la importancia de no ofrecer datos de tu  domicilio, lo que potencialmente podría emplearse tanto para robos en tu hogar como para suplantación de identidad. Sí, puedes pensar que quizás nunca facilites expresamente tu calle o tu piso, pero si tiendes a subir fotos donde se ven los alrededores de tu casa (que alguien puede identificar) o siempre en la misma zona, piensa por ejemplo en cuando paseas a tu perro o de ese bar que tienes debajo de casa, y lo acompañas de cierta información en texto que ratifique que vives por allí, cualquiera que analice tus publicaciones podrá determinar tu domicilio.

Finalmente insisten en no publicar nuestro email o número de teléfono, ya que ambos datos pueden usarse para sufrir ataques de ingeniería social a través de esos canales o de suplantación de identidad para por ejemplo acceder a nuestras cuentas bancarias o modificar credenciales.

Portada | Foto de Marten Bjork en Unsplash

En Genbeta | En unos pocos clics puedes ver todos los datos personales que Google tiene de ti (sin que quizás lo sepas)

A principios de este mes recibí un mensaje en mi móvil mientras conducía 'Se ha iniciado sesión desde un nuevo dispositivo, si no reconoce dicha acción, verifique inmediatamente (y un enlace)'. Tengo que reconocer que cuando recibí el mensaje, se me fueron los ojos a la pantalla y me entró inquietud. Si fueran de otro banco del que no soy cliente, esto habría quedado en un vacuo intento de phising más, pero resulta que sí que lo soy.

Un par de minutos después, una vez aparqué el coche, abrí el mensaje y lo leí con detenimiento. Parecía verdaderamente de mi banco: el mismo destinatario (pero en minúscula), una forma de escribir bastante parecida (tampoco mi banco usa tildes) y hasta una URL similar. Pero sabía que ese mensaje supuestamente de mi banco que metía el miedo en el cuerpo para que actúes sin pensar era el anzuelo perfecto. Y aun así, seguí el enlace.

He recibido un mensaje phising y he picado en el anzuelo

En estos años con smartphones, banca online y compras por internet me han llegado unos cuantos intentos de phising por diferentes vías, pero he de reconocer que pocos intentos de suplantación de identidad tan bien hechos. Al entrar en la información del mensaje intentando averiguar el número, este no aparece, el texto está logrado, la URL puede pasar perfectamente por la original y si haces click, la web a la que te lleva también se parece a la original, como puede verse bajo estas líneas.

Comparados frente a frente pueden verse las diferencias, pero cuando aparece en la pantalla del móvil, la imagen sirve para eñganar al recuerdo que tenemos de la aplicación. No obstante, probé a intentar acceder al menú de las tres rayas de la esquina superior derecha y resultó ser un ornamento. Por supuesto, ni me planteé ir un paso más allá e introducir mi DNI y la clave de acceso, justo lo que los ciberdelincuentes buscan y necesitan para llegar hasta mi cuenta bancaria.

Cuando llegué a este punto, decidí ponerme en contacto con mi banco, lo primero que deberíamos hacer al recibir un mensaje así pero, ¿cuántas personas recibirán una obra de falsificación tan buena y picarán en el anzuelo hasta el final?

De hecho, hay dos detalles más que podrían servirnos previamente para que saltaran todas las alarmas: la primera es saber que hasta la fecha mi banco nunca me había escrito un mensaje así (no, no me avisan cuando entro desde diferentes dispositivos) y la segunda, si recibes una variación de este mensaje como por ejemplo 'Se ha realizado un cargo de XXX euros en su cuenta, si no reconoce el pago, verifique inmediatamente' (otra variación que los ciberdelincuentes intentaron recientamente), no entrar a la web del banco desde su enlace y sí desde el navegador o mejor aún, desde la aplicación, para verificar que ese cargo nunca existió. No obstante, lo mejor es siempre contactar con el banco sin hacer absolutamente nada, ni siquiera pulsar el enlace.

A lo largo de las semanas el intento de phising se ha repetido

Entrando en mi cuenta desde la web Laboral Kutxa encontré los datos de contacto: primero opté por WhatsApp y luego por la llamada. Procedieron a darme de baja la banca online y bloquearme la tarjeta, invitándome a pasarme por una oficina cuanto antes. Así lo hice.

Una vez allí les expliqué lo sucedido y que había clicado sobre el enlace, quien me atendió se echó las manos a la cabeza: entrar en el enlace en sí ya puede ser peligroso. La clave está en que con ese clic se descargue e instale malware en nuestro dispositivo para ejecutarse posteriormente, si bien algunos navegadores web avisan antes de las descargas e incluso las bloquean. Es el caso de Safari, el navegador por defecto de iOS, que pide permiso antes de descargar elementos de las diferentes páginas web.

Lo siguiente que recomiendan es llevar el teléfono a una persona especializada para que lo analice a fondo en busca de programas maliciosos y que le pase un antivirus (aunque según nuestra experiencia, los antivirus no son necesarios ni en iPhone ni tampoco merecen la pena en Android). De hecho, en caso de duda el procedimiento a seguir sería similar al de un ordenador con un virus: cortar de raíz formateando (restaurando de fábrica, para un teléfono) para eliminar posibles programas instalados o conexiones extrañas.

Una vez sabemos que el teléfono está limpio, el banco me cambia mis crecdenciales antes de volver a activar sus servicios. Esta odisea sucedió en 24 horas tras esta experiencia deliberada pero igualmente con cierto riesgo, me quedaron claras varias cosas.

Querido banco, tenemos que hablar

Como clientes tenemos que estar en alerta.  Permitidme que insista, lo primero es no hacer caso a esas comunicaciones (SMS, Whatsapp, emails) que nos llegan de nuestro banco instándonos a entrar a nuestra cuenta con cualquier mensaje alarmante y en caso de duda, contactar con el banco sin hacer absolutamente nada. Pero la base es la desconfianza siempre hacia mensajes no solicitados o que llegan sin que nosotros hayamos hecho nada. Por supuesto, bórralo para evitar caer en la tentación ante descuidos futuros.

La segunda tiene que ver con el personal de la entidad. En mi caso fueron personas agradables y cautas, pero con escasa o nula formación sobre ciberseguridad. Entiendo que quien está delante del mostrador igual debería saber de finanzas y la tecnología no es su área de conocimiento, pero la sensación es que falta personal especializado de primera mano tanto en las oficinas como en los canales de contacto. Las ciberamenazas están a la orden del día y han llegado para quedarse, engañando no solo a personas que no saben de tecnología, sino que las técnicas actuales hacen que cada vez sea más difícil distinguir qué es legítimo y qué no.

Finalmente es momento de hablar de los protocolos de protección del banco, con bastante margen de mejora. Algunas entidades bancarias establecen en sus webs cómo se van a comunicar contigo y cómo no, como por ejemplo la propia Laboral Kutxa o BBVA, detallando por ejemplo que nunca te van a pedir que realices transferencias o traspasos entre cuentas, ni te van a llamar para que te desplaces a un cajero o pedirte las credenciales ni te van a enviar SMS con enlaces.

¿Cómo demuestran los bancos que son quienes dicen ser en sus comunicaciones?Aunque que no está de más echarle un vistazo a su web y su banca online con estas condiciones. Pero más allá de estas explicaciones, entidades como BBVA, Unicaja o la Caja Laboral no siguen ninguna medida en especial. Otras optan por proporcionar alguna información confidencial para que sepamos que son ellos. Así, el Banco Santander o Cajamar se dirigen a nosotros con nuestro nombre completo y La Caixa proporciona nuesro DNI, dos formas sencillas pero efectivas de añadir una capa de seguridad extra que cualquier persona puede comprobar fácilmente.

Portada | Bing

En Genbeta | Si caes en una estafa de phishing, esto es lo que dice la ley sobre si puedes o no reclamar el dinero robado al banco

La suplantación de identidad es un peligro que nos acecha ya en cualquiera de nuestros servicios contratados (y en otros como Correos, porque siempre existe la posibilidad de recibir un supuesto paquete), pero en un mundo cada vez más contectado y digitalizado, el phising ha llegado para quedarse y ser cada vez más sofisticado. Por este motivo es tan importante que todo el mundo tenga claro qué es y cómo funciona, desde adultos a peques y mayores de la casa y el Instituto de Ciberseguridad de España (INCIBE) ha preparado una forma lúdica para hacerlo: la Oca del phising, una versión del mítico juego de mesa para acercar esta amenaza a todo el mundo.

La Oca del phising: cómo jugar

Lo bueno de este juego de mesa adaptado es que sigue la dinámica de la Oca tradicional, es decir, un tablero para hasta cuatro jugadores con cuatro fichas que tendremos que colocar en la casilla de salida. Saldrá primero quien saque el valor más alto en una tirada de dados y después, seguiremos el sentido de las agujas del reloj.

Como en la Oca clásica, gana quien llegue primero a la meta, pero en este caso, sin caer en las trampas de los ciberdelincuentes. A partir de aquí, iremos avanzando conforme marque el dado y podremos caer en diferentes tipos de casillas:

• En las casillas de la Oca, si caes allí, tendrás que volver a tirar para avanzar.
• En las casillas vacías simplemente se pasa de turno
• En las casillas de mensaje fraudulento tendrás que responder tres preguntas y perderás tantos turnos como respuestas falles.

Como ya habrás intuido, la parte didáctica del juego está en las 50 cartas de preguntas y respuestas sobre phising, smishing y vishing, donde se repasan conceptos básicos como por ejemplo '¿Para qué quieren tus datos los ciberdelicuentes?' o '¿Qué datos no se deben dar por correo, teléfono o SMS?'. Para que toda la familia pueda aprender y no sea cuestión de inventar, vienen con tres opciones de respuesta.

El juego de la Oca del phising puede descargarse gratis a través de la web del INCIBE y viene con todo lo necesario para jugarlo: manuales, fichas, dado, tarjetas de preguntas y respuestas listos para imprimir.

Portada | Juego de la Oca de INCIBE

En Genbeta | Que nos hagan hacer clic donde no queremos: qué es el clickjacking y cómo podemos evitarlo

Hace ya dos meses desde que los contribuyentes españoles pudieron empezar a solicitar la ayuda de 200 euros aprobada por el Gobierno con el objetivo de paliar el efecto de la inflación sobre el precio de los alimentos. El plazo finalizó hace 20 días, el pasado 31 de marzo.

Según anunció la propia Agencia Tributaria, el organismo dispone de tres meses para dar una respuesta a nuestra solicitud. Una vez superado ese plazo, se considerará desestimada. Por ello, muchos solicitantes esperan con ansias cualquier novedad con respecto al estado de la misma y, sobre todo, con respecto al cobro efectivo de esos 200 euros.

Y estas situaciones no son sino un campo abonado para el surgimiento de toda clase de estafas online… de hecho, ya nos hicimos eco de unos SMS que, haciéndose pasar por la Agencia Tributaria, estaban solicitando a sus receptores sus datos bancarios con la excusa de poder cobrar la ayuda en cuestión.

Los mismos problemas que con la Declaración de la Renta

Los contribuyentes que han entregado, también por estas fechas, la declaración de la renta, también son conscientes de este problema: en cuanto se abrió el plazo, empezaron a surgir los SMS fraudulentos que ofrecían 'reembolsos' de impuestos, de nuevo a cambio de entregar nuestros datos bancarios.

En Genbeta

Phishing: qué es y diferentes tipos que existen

Para evitar, en la medida de nuestras posibilidades, el auge de campañas como esta, publicamos un artículo analizando el aspecto de un verdadero SMS de la Agencia Tributaria que notificaba que la declaración nos salía a devolver. Primera diferencia: nada de enlaces a webs extrañas pidiendo nuestros datos.

¿Qué pasa con la notificación de cobro de los 200 euros?

De modo que pensamos que sería interesante hacer el mismo ejercicio con la ayuda de 200 euros: es decir, mostrar una notificación real (por e-mail o SMS) de que el receptor había ingresado ya la cantidad correspondiente en su banco en los casos en que efectivamente había sido ya aprobada.

¿Resultado? Ninguno: hemos descubierto que varias personas que ya tenían ingresados los 200 euros en su cuenta bancaria desde hacía un par de días no habían recibido notificación alguna por correo electrónico o SMS. Así que ya sabéis: cualquier aviso que recibáis en las próximas semanas prometiendo el cobro de la ayuda del Gobierno a cambio de pinchar un enlace e introducir vuestros datos será fraudulento.

Ejemplo de receptor de la ayuda que la ha ingresado hace ya una semana en su banco sin haber recibido SMS oficial alguno (ni de haber hecho clic en ningún enlace, claro).

Y recordad: cualquier gestión online que tengáis que hacer con la Agencia Tributaria, debéis realizarla buscando y accediendo por vosotros mismos a su web oficial. Nada de clicar en el primer enlace que os llegue.

En Genbeta | Así se está usando ChatGPT para suplantar empresas: su inteligencia artificial es tan potente que puede ayudar en el phishing

Es habitual que las campañas de phishing (e-mails fraudulentos cuyo fin es que cedamos inadvertidamente nuestros datos a ciberestafadores) recurran a usar como anzuelos los reembolsos de impuestos, las citaciones judiciales o la entrega de paquetes. Menos habitual (aunque igual de ingenioso, y bastante más miserable) es que para ello traten de 'colarnos' el fallecimiento de algún familiar.

"Comunicado de fallecimiento" es el asunto de una de las últimas campañas de e-mail detectadas por ESET (la compañía desarrolladora de antivirus) entre usuarios hispanohablantes. En ella, los sobrinos de María Antonella Oviedo nos comunican su muerte y su deseo de "compartir este dolor con ustedes, nuestros seres queridos" (el dolor, de la herencia no dicen nada).

vía ESET

Y eso es curioso, porque ninguno de los receptores de este e-mail parece saber nada de la tal María Antonella ni de sus sobrinos.

Podría tratarse, claro, de un mero error en el envío del e-mail, quizá estemos criticando antes de tiempo a una familia que está sufriendo en algún lugar no determinado del mundo (aunque el '.com.ar' del dominio de origen del e-mail revela su origen argentino). Sin embargo, hay otro detalle relevante en el e-mail en cuestión:

"Queremos compartir con ustedes una nota de falecimiento (sic) que hemos publicado en línea. Les proporcionaremos el enlace a continuación para que puedan leerla y honrar su memoria".

En Genbeta

Uso un gestor de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día

No cliques. ¿Para qué clicas?

Mucho usuario, carcomido por la duda de si de verdad ha conocido o no a dicha mujer, optará por hacer clic en el enlace. Por si acaso. Y es ahí donde empiezan los problemas, porque el enlace nos llevará a una web alojada en la plataforma Azure que nos mostrará un mensaje de "Descargando su archivo PDF…". Sólo que tal archivo PDF es en realidad un ZIP… cuyo nombre empieza por 'Fac_tura_CFDI'.

Llegados a este punto, deberían haber saltado ya todas nuestras alarmas: todo indica que están reutilizando una web maliciosa de una campaña de phishing enfocada en usuarios mexicanos (el CFDI es el 'Comprobante Fiscal Digital por Internet', su versión de la factura electrónica).

vía ESET

No causará ninguna sorpresa que, una vez abramos el citado archivo ZIP, tampoco nos encontremos ningún documento PDF, sino un .exe. Éste, al ser ejecutado, mostrará una ventana que tratará de simular ser el Adobe Acrobat Reader… una versión muy extraña del mismo, pues requiere que rellenemos un captcha.

Cuando lo rellenemos, se nos dirá que el PDF "está cargando" y después aparecerá un aviso de error: "Hubo un error al ver su documento, reinicie su computadora y vuelva a intentarlo".

Llegados a este punto, posiblemente hayamos renunciado a querer saber más sobre la tía María Antonella, pero ya es tarde: mientras nos hemos entretenido intentando visualizar el documento de marras, se ha estado instalando un troyano bancario (muy similar a Grandoreiro, del que ya hemos hablado hace poco) que localizará aquellas credenciales de acceso a entidades bancarias (y, en algunos casos, también de carteras de criptodivisas) que tengamos almacenadas en nuestro equipo, y las remitirá a los responsables de la ciberestafa.

¿Qué hacer?

Los consejos en estos casos son los habituales:

• Desconfiar de e-mails de remitente desconocido.
• Desconfiar de ficheros que no son lo que dijeron ser cuando hicimos clic (un supuesto PDF que realmente es un ZIP con un EXE dentro es el mejor ejemplo de ello).
• Mantener instalada y actualizada una aplicación antimalware en nuestro equipo.
• Mantener las credenciales de acceso (a banca web o a cualquier otro servicio online) a buen recaudo en un gestor de contraseñas.

Imágenes | Elaboración propia vía IA, ESET España

En Genbeta | Tus contraseñas y datos bancarios corren peligro: una oleada de emails fraudulentos revela el retorno de dos peligrosos troyanos

Los casos de phishing se han visto incrementados en los últimos meses, con suplantaciones a numerosas empresas privadas como compañías telefónicas pero también entes públicos. Dentro de estos se destaca la Agencia Tributaria a la cual han suplantado en numerosas ocasiones con reembolsos de impuestos falsas o avisos de notificación que son completamente fraudulentos.

Y es que cuando llega un email de la Agencia Tributaria todo el mundo hecha a temblar y se preocupa. Lo cierto es que aunque puede ser fácil detectar estos phishing, últimamente hemos visto cómo han mejorado sustancialmente al ofrecer direcciones de correo electrónico con dominios que pasan por auténticos, pero al final la dirección a la que redirige no dejar lugar a dudas.

La Agencia Tributaria da ejemplos de mensajes fraudulentos

Ante el aumento de estos casos de phishing, la propia Agencia Tributaria ha informado en su web de dos ejemplos de correo electrónico falso. De esta manera se trata de que los ciudadanos estemos preparados en el caso de que nos llegue este tipo de comunicaciones para saber que son completamente falsas. 

El primer ejemplo radica en el aviso de notificación de la Agencia Tributaria. En el cuerpo del mensaje informa que se corresponde con un aviso de notificación postal con el titular de emisión, el organismo, un código de identificación (2299031217395), un concepto y el vínculo. Además, también se especifica que se puede acceder a través de la Dirección Electrónica Habilitada Única (DEHÚ) con un acceso directo a la notificación.

En Genbeta

Phishing: qué es y diferentes tipos que existen

Precisamente en este enlace está el fraude, ya que te va a solicitar diferentes datos personales en la que web que se abre para acceder a esta supuesta notificación. Para darle una mayor credibilidad, también especifica la legislación en la que se ampara esta notificación.

Como segundo ejemplo especifican el envío de un SMS que suplanta a la AEAT en el que se promete una devolución de impuestos (sobre todo a raíz de las campañas de la Renta). En este SMS se especifica lo siguiente: "Agencia Tributaria: Os ha calificado para un reembolso de impuestos de (152 €). Encontrar más información en página web: (enlace)".

El enlace que acompaña al SMS lleva a una página web que suplanta la identidad de la página de la Agencia Tributaria con un cuadro que lleva a un formulario de reembolso electrónico. Este formulario pide los datos de la tarjeta bancaria, como el número, la fecha de caducidad y también el código seguridad. En muchos casos es posible que hasta llegue una notificación a través del banco para validar este cargo.

En definitiva, en ningún caso se van a tener que hacer caso a este tipo de notificaciones electrónicas que llegan en un SMS o en email. En caso de que recibas una notificación por parte de Hacienda es importante que sepas que no te dejarán ningún enlace para entrar, sino que te solicitarán que accedas a través de los cauces oficiales.

En los últimos meses, hemos sido testigos de una escalada de casos de vishing, que ha puesto en jaque a numerosas personas. Uno de los casos más sonados sin duda es la estafa de 3 millones de euros que se reportó en España con esta técnica con lo que se puede conocer también como el timo de la doble llamada. Esta es una práctica con numerosos riesgos, y que ya ha sido alertada por numerosos organismos.

Para poder saber lo que es vishing, hay que entender exactamente que es lo que se trata de conseguir con el phishing, que es una técnica mucho más conocida al tratar de conseguir información personal a través de la suplantación de una gran empresa. Ahora, esta técnica que usualmente se realiza a través de un enlace fraudulento ha evolucionado gracias a las técnicas de ingeniería social hasta el vishing.

Qué debes saber sobre el vishing

Los modos de actuación para poder desempeñar el vishing son varias, y siempre dependerá de las técnicas de ingeniería social que se use. Nosotros nos vamos a centrar en dos de ellas a lo largo de este artículo.

La primera de ellas se centra en enviar una alerta a través de un SMS o un correo electrónico a una persona que se sienta asustada. Se puede decir que se ha registrado un acceso no autorizado en la cuenta bancaria por ejemplo, y un enlace que a priori no hará nada más que acceder al web del banco. Pero este acceso será detectado por parte de los ciberdelincuentes.

En ese preciso momento se pondrán en contacto con la víctima a través de teléfono avisando de que se ha podido pulsar en un enlace fraudulento, haciéndose pasar por la entidad bancaria. La víctima obviamente va a sentir confianza en esta persona y le dará veracidad. Al final la víctima ofrecerá datos personales como nombre, DNI, dirección e incluso los códigos de verificación de la banca online para realizar transferencias sin control.

En un segundo caso, tenemos el clásico timo de la doble llamada. En esta situación las víctimas reciben una llamada de una compañía telefónica o energética en la que se informa de una subida de la tarifa. Al momento de colgar a esta llamada, se recibe una segunda llamada de otra compañía que ofrece un precio mucho más económico.

A través de esta llamada y con la excusa de cambiar de una compañía que recientemente ha subido de precio a otra con un precio más económico, la víctima va a ofrecer todos sus datos más sensibles. Hay que tener en cuenta que de manera previa también se realiza un trabajo para recopilar toda la información posible de las víctimas para conseguir el mejor botín.

En Genbeta

Phishing: qué es y diferentes tipos que existen

Los ejemplos pueden ser muchos para estas situaciones, ya que lo más común puede ser que el intento de timo sea suplantando a una entidad bancaria o una compañía energética. Pero al final se puede usar cualquier tipo de empresa o administración pública como por ejemplo la Seguridad Social o la Agencia Tributaria.

Consejos para evitar ser víctima de estas estafas

Como siempre decimos ante cualquier tipo de amenaza en la red, la mejor herramienta para poder evitarla es hacer uso del sentido común. Es lo que realmente te va a funcionar, al no poder bloquear el número como tal de la estafa o recibir un aviso de llamada peligrosa al cambiar los estafadores de manera constante, haciendo casi imposible su registro.

Dentro del sentido común se destaca sobre todo el consejo de no ofrecer nunca información personal a través del teléfono a no ser que estés convencido 100% de quién te la está pidiendo. Esto se consigue sobre todo cuando eres tu el que está llamando a través de los canales oficiales a una empresa.

De esta manera cuando te contacten directamente a través de teléfono para ofrecerte una oferta que no has solicitado, siempre es comprobar que esto es cierto. Simplemente, se debe colgar la llamada y contactar a través del número de teléfono de atención al cliente que aparece en la web oficial de la compañía para asegurarte que es algo totalmente verídico.

El phishing busca en todo momento que pinches en un enlace fraudulento que está enmascarado en un mensaje que promete un viaje gratis, un cheque para la compra o incluso un puesto de trabajo. Pero aquí no se queda, ya que aunque parezca increíble, también se puede encontrar phishing en los eventos que llegan a Google Calendar en forma de spam. Sin embargo, esto puede acabar con un simple ajuste que ha terminado implementando la compañía recientemente.

Debido a la afluencia de spam que puede existir en Google Calendar, Google ha agregado un nuevo método de bloqueo disponible para todos los clientes. Aquí se incluyen tanto las versiones de G Suite Basics como Business. Todo esto para poder saber si el evento que se agregará proviene de un remitente que conoces o no.

Pasos a seguir para bloquear invitaciones de gente desconocida

En un primer momento, Google habilitó la posibilidad de agregar al calendario únicamente aquellos eventos que hayas aceptado a través del correo electrónico. Pero esto parece que no ha sido suficiente, agregando ahora una nueva capa de seguridad entre las preferencias de Google Calendar que te recomendamos activar con el objetivo de estar completamente seguro y evitar el spam de manera automática.

En Genbeta

Cómo evitar que el spam invada tu Calendario de Google

Esta función, que está implementándose poco a poco, es realmente sencilla de activar. Simplemente deberás seguir los siguientes pasos:

• Accede a la web de Google Calendar.
• En la esquina superior derecha pulsa sobre el engranaje de opciones, y en el desplegable pulsa en Configuración.
• En la barra de opciones de la parte izquierda, pulsa en Configuración de los eventos.
• Busca la opción Añadir invitaciones a mi calendario y pulsa sobre ella.
• Selecciona la opción Solo si el remitente es conocido.

Con este cambio de configuración se va a poder evitar que los atacantes puedan tener mucho más complicado realizar campañas maliciosas y de phishing dirigidas a todos los usuarios de Google Calendar. Y aunque tener un evento extraño en tu calendario puede ser algo malicioso, el pulsar sobre la URL que integra en su cuerpo puede terminar siendo fatal con la descarga de archivos maliciosos al ordenador o el dispositivo móvil.

Y es que este mismo cambio de configuración se aplicará automáticamente a todos los dispositivos donde tengas esa misma cuenta activada. Es decir, no se recibirá spam a través de las aplicaciones de Android o iOS estando un poco más seguro.

Una de las grandes amenazas a la que se enfrenta cualquier usuario mientras navega por internet es el phishing. Día a día surgen nuevos métodos para tratar de cazar los datos personales de las personas con diferentes ganchos como sorteos o pagos de paquetes a través de plataformas fraudulentas. Y es que actualmente se encuentra en curso un nuevo fraude relacionado con la gasolinera Repsol y un supuesto sorteo por el que se ofrecen mil euros al ganador a cambio de los datos personales y los de otros contactos.

Este nuevo fraude se está difundiendo como la pólvora a través de un chatbot de WhatsApp de Maldita.es. Como decimos, a WhatsApp llega un mensaje que se hace pasa por la empresa Repsol con un enlace a una web fraudulenta por el que prometen que vas a ganar hasta 1000 euros.

Un nuevo caso de Phishing que suplanta a Repsol

Si bien, hemos podido comprobar que la empresa no está haciendo actualmente ningún tipo de sorteo al respecto. Se puede ver como ni en su web oficial ni tampoco en sus redes sociales o en la aplicación Waylet se arroja información sobre la vigencia de un sorteo con estas características. Además, el enlace al que se redirige con el sorteo no tiene un dominio de Repsol, sino que pueden ser reservedprototype.top, diligentpanorama.top o shakefrown.top.

Igualmente, cuando se entra se presentan una serie de preguntas y tras responderlas se muestran varias cajas de regalo sobre las que ir pinchando. Como es lógico, siempre se termina ganando el primer premio con un mensaje emergente, felicitando al usuario por haber acertado. Seguidamente, se pide que para acceder al pago de este importe se debe difundir un mensaje en varios grupo a la vez pidiendo el acceso a la red social.

Lo que se está consiguiendo en este caso son dos cosas: la información de todos los contactos, y también la difusión de un mensaje fraudulento que va a seguir alimentando que otras personas vayan a caer en el mismo timo. Igualmente, una persona que lo haga correctamente se va a encontrar con un formulario en el que se solicitan datos de índole personal como son dirección y teléfono de contacto.

En Xataka

Parece un SMS de Correos pero es un ingenioso ataque de phishing: así funciona el 'SMS spoofing' para falsificar el remitente

Obviamente, no se va a recibir ninguna cuantía y lo único que se consigue es sustraer información personal para luego venderla. Es por ello, que se deben seguir siempre varios consejos para evitar el phishing, como revisar la dirección web del sorteo, y también verificar la información en los canales oficiales de la compañía como en su página web y redes sociales. De esta manera, se conseguirá tener una experiencia mucho más segura a través de la red.

Vía | 20 Minutos

Las estafas de phishing están actualmente a la orden del día. Aunque normalmente hablamos de casos relacionados con CaixaBank, BBVA o Santander, hoy el foco está puesto sobre el servicio de Correos. Esta es la alerta que ha liberado el Instituto Nacional de Ciberseguridad (INCIBE), que ha puesto de manifiesto un SMS de Correos que se está difundiendo pidiendo los datos bancarios de los receptores.

Como decimos, los ciberdelincuentes están usando el nombre de Correos para poder enviar SMS fraudulentos en los que se insta a pulsar un enlace con el objetivo de desbloquear un paquete que está listo para la entrega. En este caso la página a la que se accede tiene un aspecto similar a la que tiene Correos para poder pagar las tasas relacionadas con un nuevo paquete que te está llegando.

Correos en el foco del nuevo intento de robo de datos bancarios

En este caso, el SMS va a tener como remitente a la propio Correo. Esto, además de phishing, también se considera smishing que es la suplantación de identidad de cualquier empresa. Además, el contenido del mensaje establece lo siguiente:

SERVICIOS DE CORREOS
Estimado Cliente:
Su paquete está listo para la entrega confirme el pago de aduanas de (1,79€) en el siguiente enlace: [URL maliciosa].

Puede llegar a ser bastante común que actualmente te encuentres en la espera de recibir un paquete de algún comercio online. Es por ello que muchas personas van a caer fácilmente en esta trampa facilitando todos los datos. La web muestra la fecha del cobro, así como un importe de 1,79. Seguidamente hay un botón que dice Pagar y continuar. En el caso de pulsar, se van a requerir diferentes datos bancarios como son el número de la tarjeta, la fecha de caducidad y también el CCV.

En Xataka

Estafas por SMS: guía para evitar los virus y robos de información, y qué hacer si te pasa

Todo esto estará dentro de una pasarela de pago, que establece en la parte superior el logo de Correos. Esto hace que se tenga una experiencia que transmite mucha confianza. Esto se debe también a que es una web realmente simple y que no cuenta con ningún tipo de falta de ortografía. Una vez introducidos los datos de pago, estos estarán en manos de los ciberdelincuentes que podrán realizar compras con la tarjeta de manera fraudulenta y sin límite.

Tal y como recoge el INCIBE, en el caso de que hayas pulsado sobre este enlace e introducido los datos bancarios, vas a tener que realizar la cancelación de las tarjetas bancarias. Además de esto, también deberás poner en conocimiento esta estafa en manos de los Cuerpos y Fuerzas de Seguridad del Estado.

Como norma general, aunque estés esperando un paquete muy importante, no debes hacer clic sobre enlaces que a priori sean sospechosos. Siempre es mejor contactar previamente con el supuesto remitente a través de los canales de atención al cliente.