El phishing es un ataque que pretende obtener un pago o valiosos datos personales de una víctima, como el número de una tarjeta, un PIN o el control de una cuenta de una red social o plataforma de mensajería, suplantando la identidad del propio servicio que se pretende atacar u otra empresa o persona de confianza.
En los últimos tiempos en España se ha popularizado el conocido como phishing de Correos. Un ataque consistente en enviar un SMS a las víctimas señalando que dice: "Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones".
Este mensaje de texto en particular, además, lleva por remitente supuestamente la verdadera compañía postal y el SMS, en muchos teléfonos móviles, aparece junto a anteriores mensajes legítimos enviados por la propia Correos. Pero no es genuino y lo único que busca es, en este caso, es que realicemos un pago.
¿Cómo podemos protegernos de esta estafa y otras que de diferentes formas aparecen recurrentemente con el objetivo de engañarnos y sacar beneficio?
Consejos para evitar ser víctima del phishing
El consejo básico que todos deberíamos seguir es desconfiar. Es la base de la prevención. Una red social, una entidad bancaria, una compañía de reparto de correspondencia y mercancías no nos van a pedir hacer según qué cosas a través de un correo electrónico o un mensaje de texto. No debemos fiarnos de cualquier correo electrónico o mensaje de texto que nos llegue aunque parezca legítimo.
El segundo paso, si a pesar de desconfiar podemos llegar a creer que existe un mínima posibilidad de que sea real, podría ser buscar información en internet sobre una posible estafa relacionada con el servicio del que hayamos recibido la comunicación. Por ejemplo, si nos ha llegado un SMS que nos pide que suministremos un código de WhatsApp, como le pasó recientemente a un líder político español, podemos llevar a cabo búsquedas como "phishing WhatsApp" o "estafa SMS WhatsApp" y leer lo que encontremos en fuente fiables.
Otra buena práctica de prevención, si el posible caso de phishing está relacionada con una empresa con la que podemos contactar fácilmente, podemos hacerlo para comprobar que lo que se nos solicita es correcto o no.
Por ejemplo, si nos ha llegado un e-mail que nos dice que indiquemos el número de nuestra tarjeta bancaria o el código PIN de nuestra cuenta bancaria, podemos llamar a la entidad bancaria y asegurarnos de que verdaderamente se trata de una estafa y no debemos hacerle caso. O llamar a Correos, en el caso de la estafa de la que hablábamos al principio, para qye nos confirmen que ellos no han enviado ese SMS y que nunca nos van a solicitar un pago mediante mensaje de texto.
Imaginemos que, a pesar de estas comprobaciones, lo que hayamos recibido sigue pareciéndonos fiable y accedemos al enlace que se nos ha indicado, podemos fijarnos en la dirección web/url a la que hemos accedido. "Lo importante es cómo acaba el dominio, no como empieza", como muy bien decía este tuit de Carlos Sánchez. Y aunque no siga este sospechoso patrón, puede que el dominio ilegítimo emplee otras formas de ocultación, como hacer variaciones de un dominio legítimo. Un ejemplo ficticio podría ser facebookweb.com. Y si lo que nos ha llegado es un SMS, también puede ser buena idea consultar el número de teléfono desde el que nos ha llegado en páginas web como esta.
Ver 5 comentarios