El miedo a sufrir un ciberataque hace que nos andemos cada vez más con pies de plomo cuando navegamos por la Red. Sin embargo, a la vez que nosotros extremamos precauciones, los ciberdelincuentes también perfeccionan sus técnicas para conseguir engañarnos.
La última institución española que ha advertido de un posible caso de phishing phishing(o suplantación de identidad) ha sido la Agencia Tributaria. Según denuncia en su web, con motivo de la nueva campaña de la declaración de la renta que arranca el próximo 4 de abril, un año más se han detectado varios correos electrónicos y SMS fraudulentos que simulan la identidad e imagen del organismo público.
En ellos se hace referencia a falsos reembolsos de impuestos para los que el usuario, si quiere recibirlos, tendrá que acceder a una web maliciosa y rellenar un formulario con sus datos de cuentas bancarias y tarjetas de crédito. Además, se invita a descargar una supuesta nueva aplicación que, bajo el nombre de TAPE, no es más que un dañino malware. “Según los casos detectados, se encarga de cifrar archivos del equipo y exigir un pago para liberarlos o bien instala un troyano capaz de robar credenciales personales e información sensible”, advierten desde la entidad.
Para no dejarse engañar, la AEAT aconseja desconfiar de cualquier petición de información que no provenga directamente del dominio de su página web o de su sede electrónica. Sin embargo, detectar los fraudes puede resultar complicado en muchos casos dada la destreza de los ciberdelincuentes.
Qué es el phishing: definición y significado
phishingComo ya hemos comentado, el phishing consiste, a grandes rasgos, en suplantar la identidad de una empresa o entidad, por lo que lo primordial para estos atacantes es elegir una marca en la que los usuarios confíen y copiarla lo mejor posible. Grandes empresas, bancos o instituciones públicas son los más suplantados.
El 91% de estos ataques comienzan con un simple correo electrónicocomienzan con un simple correo electrónico. Tu banco solicita tus datos para mantener activa la cuenta o una marca de referencia te pide rellenar una sencilla encuesta: reclamos simples en los que cualquiera pudiera caer. El email puede contener textos originales, imágenes oficiales y enlaces que, en un principio, nos pueden parecer confiables.
Lo mismo ocurre con las webs a las que nos dirigen: el formato y los contenidos son idénticos. Para ello, los atacantes practican la ciberocupación, que consiste en hacerse con dominios de marcas que pertenecen a terceros. En los casos más llamativos, sin embargo, al tratarse de empresas o entidades reconocidas, lo que se buscan son dominios con ligeras variaciones que no levanten sospechas entre los usuarios: desde añadir al nombre de registro el objeto de la actividad (banco, tienda, shop…) hasta referencias geográfica que incluso vayan separadas por guión (-madrid, -es…)
Para copiar la información, estos ciberdelincuentes utilizan fórmulas automatizadas para que nada se les escape. Algunas de las herramientas más usadas son las conocidas como scrapers, muy usados para rastrear e integrar contenidos de páginas de terceros en sus webs copiadas. Además, en estas suplantaciones, es común ver formularios de registro que dicen recompensar de algún modo al usuario o enlaces a noticias o promociones llamativas. Los más avanzados incluso permiten que los internautas se registren y vean un falso perfil para no levantar sospechas. Incluso los hay que facilitan números de teléfono de contacto o invitan a la víctima a que se conecte por Skype para redondear el timo.
Todos estos mecanismos pueden darse a la vez o por separado. Así, puedes encontrar desde sitios totalmente clonados hasta aquellos que solo copian los contenidos y el logotipo o utilizan un nombre diferente.
Ejemplos de phishing
phishingDe la misma manera que las webs maliciosas pueden adoptar formas diversas y combinables para engañar, las tácticas en torno a la suplantación también son variadas. Entra las primeros que surgieron están las estafas de pago adelantado, que consisten en pagar una pequeña cantidad de dinero a cambio de un beneficio que nunca llega. Un clásico que llegó a los correos de spam procedente de las cartas: en el siglo XIX, varios timadores utilizaban la estafa del prisionero español para sacar dinero a extranjeros movidos por la compasión.
Hoy en día, el principal reclamo es ofrecer un buen retorno de la inversión, aunque también se aprovechan de la buena fe de los usuarios. Por ejemplo, invitándoles a abrir una cuenta en un banco (falso) previo ingreso de un depósito o alertándoles de que no han pagado alguna (supuesta) factura.
Otro método son los formularios de registro para vendedores online. Una de estas webs maliciosas puede ofrecerles sus servicios para, por ejemplo, abrir mercado en un nuevo país y llevarles a rellenar un formulario y efectuar un pago atraídos por la oportunidad. Estos mismos formularios pueden servir a los ciberdelincuentes para almacenar datos sobre identidades y luego suplantarlas para seguir haciendo de las suyas.
Otro de los sectores con un alto índice de estafas son las ofertas de trabajo. Así, los usuarios pueden encontrarse con oportunidades laborales de grandes empresas que incluso contactan con ellos a través de un dominio ciberocupado.
Cómo protegerse del phishing
phishingLa mejor forma de evitar ser estafado es no responder jamás a una solicitud de información personal a través del correo electrónico, llamada de teléfono o SMS. Las empresas e instituciones nunca deberían solicitar (y no suelen hacerlo) contraseñas, números de tarjeta de crédito o cualquier información personal por estos medios. Si recibes una petición así, lo más probable es que se trate de un suplantador.
También se recomienda evitar el acceso a cualquier web a través de un enlace, en especial si lo hemos recibido por alguna de las vías antedichas. Mucho mejor introducir la URL directamente en la barra de direcciones del navegador o, al menos, buscar la web en Google y entrar desde su página de resultados.
En la mayoría de los casos, tu mejor aliado es el sentido común. No hay que navegar con miedo, ya que los bancos, plataformas de comercio electrónico y demás páginas que tienen acceso a nuestro dinero tienen certificados de seguridad que garantizan el uso de cifrado. Para evitar disgustos, intenta navegar únicamente por webs seguras cuya dirección empiece por “https://”.
Si ya es demasiado tarde, lo mejor que puedes hacer cuando has sido estafado es recopilar toda la información posible (capturas de pantalla, enlaces, direcciones de correo, mensajes…) y presentar una denuncia. En la web de la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad podrás encontrar información al detalle y actualizada sobre cómo y dónde hacerlo.
------------
Las imágenes son propiedad, según orden de aparición, de Pixabay, Christiaan Colen/Flickr y Pexels.