Phishing: 7 pasos para detectar correos fraudulentos

El phishing es una de las técnicas más usadas por los ciberdelincuentes para robar datos personales y bancarios. Con la ayuda de técnicas de ingeniería social, el ciberdelincuente suplanta la identidad de entidades, personas, marcas o servicios conocidos para tratar de engañar a sus víctimas. Su objetivo final suele ser el dinero y/o la obtención de información sensible, generalmente introducida por la víctima en una página web falsa creada por el ciberdelincuente o infectando el equipo mediante la descarga de un malware.

A lo largo de los años, los hackers han evolucionado y perfeccionado sus métodos de engaño, creando correos phishing cada vez más sofisticados y difíciles de detectar. Por este motivo, para no caer en la trampa, el usuario debe aprender a reconocer las señales que puedan delatar al ciberdelincuente.

Cuando recibimos un nuevo correo, debemos formularnos las siguientes preguntas:

1. ¿El mensaje es sospechoso?

Para engañar a su víctima, el ciberdelincuente puede crear correos que inspiren confianza o curiosidad, suplantando la identidad de una entidad bancaria, de una plataforma de video en streaming o, simplemente, escribiendo un mensaje atractivo que impulse a clicar en un enlace o archivo anexo. 

Aunque el remitente sea aparentemente conocido y/o el mensaje muy tentador, no se debe confiar en correos inesperados o en respuestas que no hayamos solicitado. 

2. ¿Quién envía el correo?

Es imprescindible analizar con detalle la dirección de correo del remitente y no fiarnos solo del nombre que nos muestra. Debes fijarte siempre en el dominio que usa: si el correo es de una entidad o servicio, es muy probable que utilice sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo genérico tipo @gmail.com, @outlook.com o cualquier otro dominio no corporativo, empieza a sospechar.

Los ciberdelincuentes también pueden crear dominios que a simple vista parecen reales, pero en los cuales, si nos fijamos muy bien, podremos apreciar pequeñas modificaciones respecto del dominio real.  Por ejemplo: caixabank.com es real, pero caixabanc.com, no lo es. Por ello, es necesario confirmar que la dirección de correo tiene el dominio oficial de la empresa y no dejarse engañar por pequeños cambios a veces casi imperceptibles.

Aun así, el dominio del correo se puede llegar a suplantar en su totalidad y los ciberdelincuentes pueden enviar correos electrónicos aparentemente desde la dirección legítima. Por este motivo es importante fijarse bien en el contenido del correo, tal y como se indica en los siguientes puntos.

3. ¿Es una petición urgente?

Crear sensación de urgencia es un recurso habitual entre los hackers. Mensajes como "Su contraseña ha caducado. Tiene 24 h para modificar sus claves de acceso…” empujan a la víctima a tomar una decisión rápida y precipitada. 

Además de las prisas, el concepto de la confidencialidad también es muy usado en este tipo de estafas. Mensajes como “Por favor, no comentes esto con nadie más, es un asunto secreto y confidencial. Confío en ti…” pretenden disuadir a la víctima de realizar las comprobaciones de seguridad pertinentes y, por tanto, de no confirmar la petición con nadie más.  

Por mucha urgencia o secretismo que transmita el mensaje, siempre se recomienda contactar con el remitente por un canal alternativo (por ejemplo, llamando a los teléfonos habituales) para verificar que el correo es realmente legítimo.

4. ¿A quién va dirigido el correo? 

Generalmente, las campañas de phishing son masivas y se dirigen a cientos de miles de personas en todo el mundo. Por lo tanto, es habitual que no cuenten con los datos personales de sus víctimas potenciales y usen términos genéricos como “amigo”, “Estimado cliente” o “Buenos días”, sin usar el nombre de pila de cada individuo. 

Sin embargo, las técnicas de los hackers han ido perfeccionándose y cada vez son más numerosos los casos de phishings dirigidos y personalizados a víctimas concretas de las que previamente el ciberdelincuente ha obtenido información. Ejemplo de ello son las estafas del fraude al CEO y el fraude facturas.

Por este motivo, que el remitente conozca el nombre del usuario no es una prueba de su legitimidad. 

5. ¿El enlace es legítimo? 

Si el correo contiene un enlace, es necesario comprobar a dónde conduce el mismo antes de clicar, ya que podría ser un enlace trampa. Debemos analizar su dirección web o URL para ver si es conocida. ¿Cómo?

Pasar el cursor por encima del enlace sin clicarlo permite ver la dirección web y comprobar si es o no conocida. Esta aparece en una pequeña ventana emergente y a los pies de la mayoría de los navegadores de Internet. Si la dirección a la cual dirige el enlace no corresponde a la que apunta el contenido del mensaje, podría ocultar una web maliciosa.

Es posible que algunos correos contengan enlaces más cortos de lo normal que no revelan información sobre su procedencia. En estos casos, es recomendable utilizar servicios gratuitos como los de http://unshorten.it/. Copiando y pegando el enlace acortado en esta web, se podrá saber la dirección completa y conocer dónde dirige realmente el enlace.

6. ¿Está bien escrito?

Que una entidad o compañía envíe una comunicación con una redacción y ortografía descuidadas es una señal de alarma que nos indica un posible correo fraudulento.

Las campañas de phishing en ocasiones se realizan desde el extranjero y están destinadas a atacar a personas de distintas nacionalidades. Por lo tanto, los ciberdelincuentes traducen sus mensajes a varios idiomas, en ocasiones con muchos errores debido al uso de traductores automáticos.

Frases mal construidas, traducciones demasiado literales, palabras con símbolos extraños o fallos semánticos son pistas que pueden delatar a los estafadores. No obstante, cada vez son más habituales los casos de correos phishing elaborados con una escritura perfecta. Cualquier tipo de texto, esté bien escrito o no, es por tanto susceptible de ocultar un intento de fraude. 

7. Si sigo sin estar 100% seguro…

Es posible que, aunque se analicen todos los elementos del correo, aún no puedas asegurar al 100 % su legitimidad. Los phishings son cada vez más sofisticados y en ocasiones es muy difícil distinguirlos de un correo legítimo.   

En estos casos, debe confirmarse la autenticidad del remitente mediante otro canal. Es decir, si se recibe un correo sospechoso por parte de una empresa y/o persona, es conveniente ponerse en contacto por teléfono con las mismas para verificar que la comunicación es real y legítima. 

¿Estás seguro que es CaixaBank quien te está contactando?

A pesar de que las empresas invierten cada día más en nuevas y mejores medidas de ciberseguridad, los usuarios debemos aprender a reconocer las amenazas que nos acechan en el mundo digital. Todos podemos ser objetivo de los ciberdelincuentes, incluidos los usuarios de servicios bancarios. 

Por ejemplo, como usuario de CaixaBank Sign, puedes recibir el correo o el mensaje de texto fraudulento de un ciberdelincuente con el asunto “tiene un problema con su CaixaBank Sign”. 

Si no analizas correctamente el correo siguiendo los anteriores pasos de seguridad, corres el riesgo de clicar en un enlace fraudulento, con lo que podrás llegar a ceder tus claves de acceso al ciberdelincuente.  

En caso de duda, antes de clicar en cualquier enlace o fichero anexo, contacta con tu gestor de CaixaBank para asegurarte de que el correo es legítimo.