El phishing es una de las técnicas más usadas por los ciberdelincuentes para robar datos personales y bancarios. Con la ayuda de técnicas de ingeniera social, el ciberdelincuente suplanta la identidad de entidades, personas, marcas o servicios conocidos para tratar de engañar a sus víctimas. Su objetivo final suele ser el dinero y/o la obtención de información sensible, generalmente infectando el equipo mediante la descarga de un malware. A lo largo de los años, los hackers han evolucionado y perfeccionado sus métodos de engaño, creando correos de phishing cada vez más sofisticados y difíciles de detectar. Por este motivo, para no caer en la trampa, el usuario debe aprender a reconocer las señales que puedan delatar al ciberdelincuente.
Cuando recibimos un nuevo correo, debemos formularnos las siguientes preguntas:
1. ¿El mensaje es sospechoso?
Para engañar a su víctima, el ciberdelincuente puede crear correos que inspiren confianza o curiosidad, suplantando la identidad de una entidad bancaria, de una plataforma de video en streaming o simplemente escribiendo un mensaje atractivo que impulse a clicar en un enlace o archivo.
Aunque el remitente sea aparentemente conocido y/o el mensaje muy tentador, no se debe confiar en correos inesperados o en respuestas que no hemos solicitado.
2. ¿Quién envía el correo?
Es imprescindible analizar con detalle la dirección de correo del remitente y no fiarnos sólo del nombre que nos muestra. Debes fijarte siempre en el dominio que usa: si el correo es de una entidad o servicio, es muy probable que utilice sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo genérico tipo @gmail.com, @outlook.com, empieza a sospechar.
Los ciberdelincuentes también pueden crear dominios que a simple vista parecen reales, pero que, si nos fijamos muy bien, se pueden apreciar pequeñas modificaciones en el dominio real. Por ejemplo: caixabank.com es real, pero caixabanc.com, no. Por eso es necesario confirmar que la dirección de correo tiene el dominio oficial de la empresa y no dejarse engañar por pequeños cambios a veces casi imperceptibles.
Aun así, si el dominio del correo es aparentemente el legítimo, pero el contenido del correo nos parece sospechoso, es siempre aconsejable contactar con el remitente por otro canal (telefónicamente, por ejemplo) para confirmar la legitimidad del correo, antes de clicar en ningún enlace o anexo que pudiera contener.
3. ¿Es una petición urgente?
Crear sensación de urgencia es un recurso habitual entre los hackers. Mensajes como “Su contraseña ha caducado. Tiene 24h para modificar sus claves de acceso… “, empujan a la víctima a tomar una decisión rápida y precipitada.
Además de las prisas, el concepto de la confidencialidad también es muy usado en este tipo de estafas. Mensajes cómo “Por favor, no comentes esto con nadie más, es un asunto secreto y confidencial. Confío en ti…” quieren disuadir a la víctima de realizar las comprobaciones de seguridad pertinentes y no confirmar por tanto la petición con nadie más.
Por mucha urgencia o secretismo que transmita el mensaje, siempre se recomienda contactar con el remitente por otro canal para verificar que el correo es realmente legítimo.
4. ¿A quién va dirigido el correo?
Generalmente, las campañas de phishing son masivas y se dirigen a cientos de miles de personas en todo el mundo. Por lo tanto, es habitual que no cuenten con los datos personales de sus víctimas potenciales y usen términos genéricos como “amigo”, “Estimado cliente” o “Buenos días”, sin usar el nombre de pila de cada individuo.
Sin embargo, las técnicas de los hackers han ido perfeccionándose y cada vez son más numerosos los casos de phishings dirigidos y personalizados a victimas concretas, como las estafas del Fraude al CEO y el Fraude facturas.
Por este motivo, que el remitente conozca el nombre del usuario, no es una prueba de su legitimidad.
5. ¿El enlace es legítimo?
Si el correo contiene un enlace, es necesario comprobar a dónde conduce antes de clicar, ya que podría ser un enlace trampa. Debemos analizar su dirección web, o URL, para ver si es conocida. ¿Cómo?
Pasar el cursor por encima del enlace sin clicarlo, permite ver la dirección web y comprobar si es o no conocida. Ésta aparece en una pequeña ventana emergente y a los pies de la mayoría de los navegadores de internet. Si la dirección a la cual dirige el enlace no corresponde a la que apunta el contenido del mensaje, podría ocultar una web maliciosa.
6. ¿Está bien escrito?
Que una entidad o compañía envíe una comunicación con una redacción y ortografía descuidadas, es una señal de alarma que nos indica un posible correo fraudulento.Las campañas de phishing en ocasiones se realizan desde el extranjero y están destinadas a atacar a personas de distintas nacionalidades. Por lo tanto, los ciberdelincuentes traducen sus mensajes a varios idiomas, en ocasiones con muchos errores debido al uso de traductores automáticos.
Frases mal construidas, traducciones demasiado literales, palabras con símbolos extraños o fallos semánticos son pistas que pueden delatar a los estafadores. Pero también se registran numerosos casos de correos phishing elaborados con una escritura perfecta. Cualquier tipo de texto, este bien escrito o no, es susceptible de ocultar un intento de fraude.
7. Si sigo sin estar 100% seguro…
Es posible que aunque se analicen todos los elementos del correo, aún no puedas asegurar al 100% su legitimidad. Los phishings son cada vez más sofisticados y en ocasiones es muy difícil distinguirlos de un correo legítimo.
En estos casos, debe confirmarse la autenticidad del remitente mediante otro canal. Es decir, si se recibe un correo sospechoso por parte de una empresa y/o persona, es conveniente ponerse en contacto con esta por teléfono para verificar que la comunicación es real y legítima.
¿Estás seguro que es CaixaBank quien te está contactando?
A pesar de que las empresas invierten cada día más en nuevas y mejores medidas de ciberseguridad, los usuarios debemos aprender a reconocer las amenazas que acechan en el mundo digital. Todos podemos ser objetivo de los ciberdelincuentes, incluidos los usuarios de servicios bancarios.
Por ejemplo, como usuario de CaixaBank Sign, puedes recibir el correo o el mensaje de texto fraudulento de un ciberdelincuente, con el asunto “tiene un problema con su CaixaBank Sign”. Si no analizas correctamente el correo siguiendo los anteriores pasos de seguridad, corres el riesgo de clicar en un enlace fraudulento, pudiendo llegar a ceder así tus claves de acceso al ciberdelincuente.
No obstante, para hacer operaciones siempre te vamos a pedir un segundo código de seguridad, ya sea un código de tu tarjeta de coordenadas o el que te mandamos mediante SMS a tu teléfono. Recuerda que este código nunca debes compartirlo con terceros.