La tecnología evoluciona día a día para hacernos la vida más fácil. Cada vez estamos más cerca de las cosas a un golpe de clic. Pero tal y como avanzan las ciencias, lo hacen también los ladrones de lo ajeno.

Quizás no hayas oído hablar del término “phishing” y sin saberlo ya has ido víctima de ella. Y es que este tipo de fraude bancario está a la orden del día y es muy común caer en el error, y no importa la edad que tengas porque en esta estafa puede caer cualquiera.

¿Qué es el phishing?

Si este término te suena a pesca, no vas desencaminado. La palabra phishing proviene de la palabra inglesa fishing (pescar), y trata de hacer alusión al intento de hacer que los usuarios "piquen en el anzuelo". Al que practica este fraude se le llama phisher.

También se dice que el término "phishing" es una contracción de varias palabras en inglés "password harvesting fishing" (cosecha y pesca de contraseñas). Aunque es probablemente un acrónimo retroactivo, dado que el dígrafo 'ph' es comúnmente utilizado por los hackers para sustituir la 'f', como raíz de la antigua forma de hacking telefónico conocida como phreaking.

El phishing es un intento de suplantación de identidad. Por medio de este método, los ciberdelincuentes se hacen pasar por una empresa, institución o servicio conocido y que tiene buena reputación con el fin de engañarte y por medio de “un anzuelo” robarte tus datos privados, contraseñas de acceso o datos bancarios. Este tipo de práctica fraudulenta se apoya en la ingeniería social y está muy extendida.

En algunos casos, el phishing también se utiliza para infectar los dispositivos electrónicos con algún tipo de malware.

¿Cómo podemos picar en un caso de phishing?

Normalmente este tipo de fraude se realiza a través del correo electrónico, ya que los ciberdelincuentes tienen una gran base de datos en la que almacenan multitud de direcciones de email que han recopilado de formas muy diversas. Por este motivo, les resulta muy sencillo hacer uso de los correos electrónicos para captar datos por este medio. No obstante, también se da por otro tipo de medios como:

  • Las redes sociales, en estás hacen la captación a través de la creación de perfiles y páginas falsas.
  • Mensajes SMS/MMS, lo hacen a través del envío a números de teléfonos móviles, para que el “cliente” pique. Esta práctica se conoce como Smishing.
  • Llamadas de teléfono, se hace tanto a los teléfonos móviles como los fijos.

Lo primero que debes saber es que, una vez te han contactado por uno de estos medios, el fraude consiste en suplantar a una organización legítima como, por ejemplo, una entidad bancaria, una compañía eléctrica, red social, etc.

Por ejemplo, si es un correo electrónico, cuando leemos el cuerpo del mensaje nos plantean una serie de opciones:

  • nos pide que descarguemos un archivo adjunto, que suele tener malware;
  • o que accedamos a un enlace que nos dirige hasta una página web falsa simulando ser la página web oficial de la organización que se suplanta.

Una vez hemos accedido a la página en cuestión, nos suelen pedir introducir nuestras credenciales, datos bancarios, datos personales, etc., que en ese momento pasan a disposición de los ciberdelincuentes. Al ser una “página clonada” es fácil caer en la trampa. En el caso de ser una web de un banco, necesitas acceder con tu DNI y tu clave, que suele ser el pin de tu tarjeta. De esta manera los delincuentes ya tendrán vía libre para hacer a todos datos, cuentas, pagos, transferencias, etc.

Aunque las excusas que usan para engañarnos son muy variadas: desde plantearnos problemas técnicos de la entidad que suplantan, cambios en las políticas de privacidad y seguridad de la compañía, a ofrecernos vales descuentos y promociones. A veces, incluso pueden indicarnos la existencia de una urgencia para resolver alguna incidencia o reclamar un premio con tiempo limitado.

¿Cómo reconozco un phishing?

Normalmente, los correos de phishing, suelen tener un patrón muy parecido. Para saber cómo reconocerlos te damos una serie tips:

  • Los correos electrónicos de phishing suelen llevar saludos genéricos. Desconfía si no se dirigen a ti por tu nombre y/o apellido.
  • Revisa la dirección del remitente que te manda el email, ya que puede contener caracteres extraños que te sirvan para diferenciarlo de la real. Es recomendable que verifiques la identidad del remitente por otra vía.
  • Antes de pinchar en el enlace, sitúate con el ratón sobre el mismo y revisa si la URL comienza por HTTPS. Si no es así, ¡ojo!, se puede tratar de una página web falsa. Antes de nada, es preferible que accedas directamente en el navegador a la página web oficial y compruebes la veracidad del mensaje.
  • Nunca descargues ni abras archivos adjuntos que estén en un mensaje sospechoso, podrías “infectarte” de malware.
  • La redacción no es correcta. Es muy común encontrar faltas de ortografía en este tipo de emails fraudulentos, ya que suelen ser enviados por los ciberdelincuentes de manera masiva, desde el extranjero y en ocasiones hacen una haciendo una mala traducción.

Recuerda que tu banco jamás te pedirá que facilites tus datos de ninguna manera, ni te los requerirá vía email. De echo con la nueva normativa de servicios de pago, se trata de luchar contra este tipo de fraudes, pidiendo doble verificación.

¿Qué hago si he sido víctima de phishing?

Este tipo de fraude a veces nos puede costar detectarlo porque la página clonada es prácticamente igual y podemos caer en la trampa. Si este es el caso y has hecho los pasos que te requerían desde un correo o mensaje SMS o redes sociales, lo más importante es tomar conciencia de ello. Lo primero, actúa con serenidad y sentido común:

Si por error, has facilitado tus datos bancarios (número de tarjeta, PIN, CVV, tarjeta de coordenadas, etc.) lo primero que tienes que hacer es contactar con tu banco y explicar lo sucedido para que tomen las medidas que correspondan y mitiguen al máximo las posibles consecuencias del phishing, ya que pueden acceder a tus ahorros, cuentas, etc.

Del mismo modo debes hacer si, lo que te han solicitado es otro tipo de información privada: contacta con el servicio que corresponda y notifica la situación para que, en caso de que surjan problemas, puedas demostrar que fue por dicho este motivo.

Además, como medida preventiva, debes vigilar con cierta periodicidad, lo que Internet sabe de ti, para ver si los delincuentes están haciendo uso de esos datos sin tu consentimiento. En el caso de las cuentas bancarias nunca está de más que consultes tus movimientos con frecuencia. Así podrás detectar a tiempo cualquier movimiento sospechoso.

Por otro lado, si la complicación ha sido que se ha infectado tu dispositivo, tendrás que desinfectarlo. Si tienes problemas en hacerlo o no sabes, en la web de la Oficina de Seguridad del Internauta (OSI) encontrarás muy bien explicados los pasos a seguir. También te pueden ayudar vía telefónica en el número de Atención 901 11 11 21.

Tampoco está demás, sobre todo si el fraude ha tenido consecuencias porque no te has dado cuenta, denuncia los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), para que tomen las medidas que correspondan para poder cazar a los ciberdelincuentes.