Phising
08/07/2021

Phising

El phising es un conjunto de artimañas que pretenden engañar a una víctima suplantando la identidad de otra persona o entidad con el fin de que el destinatario realice unas acciones creyendo que está operando con quien en realidad no lo es, y de esta forma robarle información.

El término procede del inglés (pescar), por su similitud con tirar un anzuelo con el fin de obtener información valiosa con la que cometer futuros delitos.

El engaño puede provenir por diferentes vías, siendo el email una de las preferidas por los atacantes, pues es muy sencillo llegar por esta vía a multitud de destinatarios.

Ejemplo de phising en un email

El ejemplo más tradicional de phising es recibir un email simulando ser un organismo (la Agencia Tributaria, la Seguridad Social, Tráfico) o una entidad bancaria indicando que tienen una deuda contigo y que procederán a abonarla, para lo cual debes cumplimentar el formulario.

Una vez que el usuario pica sobre el enlace propuesto, es redireccionado a una página que habitualmente contiene un formulario en el que se le solicita el número de tarjeta bancaria y el código de verificación para que le hagan una devolución de impuestos, cotizaciones o para activar una devolución de comisiones o el pago de una deuda.

Introducida la información de la tarjeta bancaria, el ciberdelincuente ya dispone de una información valiosa con la que comerciar con otros delincuentes o cometer un delito, por ejemplo realizar cargos, hacer compras y pagos, o garantizar depósitos.

El delito provocado por el phising puede ser inmediato o diferido, y al engañado solamente le queda la opción de bloquear o cancelar su tarjeta bancaria.

Phising por email

¿Cómo defenderte?

  • ✔️ En primer lugar, desconfía siempre de los correos en los que te solicitan información confidencial como el número de la tarjeta bancaria.
  • ✔️ A continuación comprueba la dirección email del remitente, por ejemplo, si aparece como remitente devoluciones.aeat@oficina.cl, claramente es de una organización “oficina.cl” que en absoluto es la Agencia Tributaria, pues todos los email se componen de un nombre (hasta la @) y un dominio (desde la @) que identifica la organización, con el sufijo del país del dominio (en este caso Chile “.cl”)
  • ✔️ Si aun tienes dudas de que se trata de un fraude, intenta buscar el dominio origen del correo (en este ejemplo “oficina.cl”) y comprueba de que organización se trata.
  • ✔️ Lee con detenimiento el email, seguramente encontrarás términos y expresiones no habituales que te confirmen las sospechas de un fraude, como por ejemplo “el monto de su devolución”, “la liquidación de su impuesto”, “el retorno de su comisión”, “el envío demandado por usted”, “el pago de su insumo” etc
  • ✔️ Comprueba por otros medios si realmente tú has solicitado esa devolución o el servicio que te indican (difícilmente puedes recibir un paquete si tú no compras por internet, o difícilmente pueden devolverte algún impuesto si la declaración salió a pagar).
  • ✔️ Si llegado este momento aún sospechas que puede ser un correo verídico, ponte en contacto por otra vía (teléfono, visita) con la organización o el banco para que te confirmen su procedencia.
  • ✔️ Si finalmente decides que puede tratarse de un fraude, marca el email como spam y bórralo. Si se trata de un SMS, bórralo sin abrirlo. Si el documento viene con un adjunto, nunca lo abras ni lo ejecutes.

 

Otras formas frecuentes de phising:

También puedes sufrirlo por teléfono (vishing), en este caso suelen llamarte indicando que van a mejorar tu tarifa de electricidad o de telefonía.  Si te han robado previamente los datos de tu tarjeta, pueden necesitar el contenido de una clave o SMS que has recibido de tu entidad al tratar de realizar una compra fraudulenta. No facilites información. Asegúrate previamente de la identidad de tu interlocutor.

 

En otros casos, la vía de comunicación es un SMS (smishing) con el mismo contenido; últimamente están de moda los SMS que avisan de la llegada de un paquete y piden que accedas a un enlace para concertar la entrega. Aquí pueden ocurrir dos situaciones: la primera es que el enlace te instale un software malicioso en tu dispositivo con el que los ciberdelincuentes puedan acceder a tus contactos, claves, tarjetas, fotografías, cámara, documentos, o incluso controlar el ordenador o Smartphone. La segunda es que le dirijan a un formulario para tratar de robarte credenciales (tarjetas de crédito, contraseñas). Si desconfías del SMS (y debes desconfiar salvo que fehacientemente conozcas la procedencia), bórralo sin abrirlo.

 

Actualmente están muy en boga bulos que se reciben por WhatsApp pidiendo que accedas a una página web e introduzcas tus datos personales, por ejemplo “Solidarízate con una niña que necesita un riñón. Firma tu apoyo” o ”Dona tan solo un euro para desarrollar una vacuna contra el Covid para los países pobres”. Estos bulos en muchas ocasiones son transmitidos y amplificados enormemente por los grupos. Borra de inmediato estos mensajes, y nunca los reenvíes, pues contribuirás al fraude.

 

Puedes obtener más información sobre phising en:

https://es.wikipedia.org/wiki/Phishing

https://www.incibe.es/aprendeciberseguridad/phishing

https://www.osi.es/es/

 

Luis Arrieta

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Nosotros
te llamamos
+