¿Qué es el phishing? ¡Recela de los correos falsos y otras estafas!

Haz clic aquí para ver un resumen de este artículo

Resumen: ¿Qué es el phishing?

El phishing es una forma de delito en línea en el que, de forma inconsciente, las víctimas le dan acceso a delincuentes a sus cuentas bancarias o a información personal.

Los mensajes de phishing, a menudo en forma de correo electrónico, son indistinguibles de uno real. Estos mensajes parece que llegan desde una institución oficial, pero en realidad, el remitente es un delincuente. Hacer clic en un enlace malicioso puede acarrear consecuencias poco agradables.

Tenemos algunos consejos para evitar que acabes siendo una víctima del phishing:

• Usa la autenticación de dos pasos en todas tus cuentas.
• Configura el filtro de spam correctamente.
• Solo debes dar tus detalles en línea en webs seguras.
• Saber cómo usar Internet de forma segura y cómo protegerte.

Para tener más información sobre cómo identificar el phishing y qué puedes hacer si eres víctima de él, lee nuestro artículo entero a continuación.

Probablemente ya hayas oído hablar antes del phishing. Casi constantemente, empresas, medios de comunicación y otras organizaciones intentan advertirnos en contra de ello. Pero, ¿qué es exactamente el phishing? Este artículo te lo contará todo sobre esta clase de ciberdelito. Hablaremos sobre qué es, cómo reconocerlo y cómo protegerse de él. También te mostraremos qué hacer si eres víctima de un ataque de phishing.

¿Qué es el phishing?

El phishing es una clase de ciberdelito en el que, sin saberlo, las víctimas le dan acceso al delincuente a su información personal o a su cuenta bancaria.

Habitualmente, esto ocurre debido a un correo electrónico de phishing que se le envía a la víctima. Este correo electrónico parece que proviene de una organización oficial o negocio, pero en realidad está enviado por un delincuente.

Estos atacantes harán lo que sea necesario para hacer que sus correos electrónicos parezcan tan auténticos como sea posible. Por ejemplo, usan logos de webs oficiales y empresas. En esos correos electrónicos, se les suele pedir a las víctimas que hagan clic en un enlace o abrir un adjunto.

Si haces clic en el enlace en un correo electrónico de phishing, tal vez te encuentres en una página que se parece a una web oficial, pero que solo es una copia falsa. El delincuente espera que introduzcas tus detalles personales e información sensible en esa página haciendo, por ejemplo, que rellenes una página de inicio de sesión. Una vez lo has hecho, el delincuente tendrá acceso a esta información.

Abrir un adjunto de un correo electrónico de phishing también puede causar un montón de problemas. Sin saberlo, puedes haber instalado un malware, como un virus o un spyware, en tu ordenador. Esto puede acabar resultando en que el delincuente tenga acceso a todo tipo de información personal sobre ti, como los detalles de tu banco. A veces, incluso instalan bots para crear una botnet y llevar a cabo ataques DDoS.

El objetivo final de un delincuente con el phishing es beneficiarse robándote tu dinero o tus datos personales. De aquí viene el nombre «phishing». Los ciberdelincuentes «pescan» («fish» en inglés) tu información: lanzan su caña de pescar digital (el correo electrónico) y esperan hasta que la víctima muerde el anzuelo.

Usan los miedos y emociones del destinatario para hacer que su fraude funcione. Pueden, por ejemplo, hacerte creer que tienes un pago sin realizar, diciéndote que te arriesgarás a una multa si no pagas inmediatamente. Las víctimas suelen entrar en pánico cuando leen algo así y hacen lo que les piden, cayendo en los trucos del delincuente.

No te sientas estúpido si te ha ocurrido esto a ti. Puede ser increíblemente complicado distinguir un mensaje falso de uno real.

Distintos tipos de ataques de phishing

Generalmente, el correo electrónico es un medio muy efectivo para los atacantes, ya que les permite llegar a miles de personas de una vez. Perdiendo el mínimo de tiempo posible, son capaces de robar mucho dinero con tal de que una pequeña parte de los destinatarios caiga en el engaño.

Sin embargo, no acaba con los correos electrónicos. Estos son algunos otros tipos de ataques de phishing de los que debes estar atento, ya sean estafas en redes sociales o a través del correo tradicional.

Phishing en WhatsApp

Los ciberdelincuentes continúan pensando en nuevas formas de robar el dinero a sus víctimas. Estas técnicas pueden ser más efectivas y lucrativas, ya que los usuarios simplemente no saben que existen, aún.

Un mensaje de un banco puede que no siempre se gane tu confianza. Lo mismo pasa en WhatsApp, o los mensajes de texto de organizaciones oficiales, pidiéndote que pagues una factura de la que no recuerdas nada. A lo largo de los últimos años, WhatsApp se ha usado especialmente más y más en ataques de phishing.

¿Has recibido un mensaje sospechoso? Puede ser muy complicado decir si una factura realmente debe pagarse o si es simplemente un intento de robo. Lo mejor que se puede hacer es contactar con la organización que supuestamente te ha enviado el mensaje. Ir a su web oficial buscando la información de contacto correcta, sin clicar en ningún enlace en el mensaje ni usando la información que aparece en él.

Los delincuentes que realizan ataques de phishing suelen ser lo suficientemente inteligentes para cambiar la información de contacto de la empresa por la suya. Si la empresa no sabe nada sobre el mensaje, asegúrate de que sepan de qué alguien está enviando mensajes de phishing en su nombre.

Facturas falsas

No solo las redes sociales, sino también las formas más tradicionales de comunicación están siendo usadas por ciberdelincuentes. Uno de los timos más comunes, especialmente para aquellos que tienen sus propios negocios, son las facturas falsas. Los timadores envían una factura falsa, pero muy realista, diciéndote que pagues rápidamente o sufrirás las consecuencias.

Se te suele pedir que envíes el dinero a una cuenta de banco en concreto. Algunas veces, incluso afirman que estás en deuda y que enviarán un cobrador de deudas si no haces rápidamente la transferencia de dinero. Mientras que es posible recibir este tipo de carta desde instituciones oficiales (en circunstancias extremas), también podría ser un caso de phishing. Esto quiere decir que, normalmente, las amenazas son falsas. Si haces la transferencia, el dinero simplemente terminará en los bolsillos de los timadores.

Si quieres comprobar si una factura o un recordatorio de una deuda es legítima, llama a la empresa que te la envió. De nuevo, no uses la información de contacto que aparezca en la factura. Siempre ve a la web oficial de la empresa que se supone que te envía la factura y llámales o envíales un correo electrónico. Pide una confirmación de la factura, la cantidad de dinero mencionada y la cuenta donde debes hacer la transferencia antes de pagar nada.

Spear phishing

En contraste con el phishing, el spear phishing ataca a sus víctimas de forma individual. Los hackers hacen ver que te conocen y los mensajes pueden parecer que vienen de alguien a quien conoces.

Si un delincuente ha tenido acceso al correo electrónico o a la cuenta de una red social de la víctima (a través de un ataque de phishing previo, por ejemplo), lo pueden usar para encontrar nuevas víctimas.

Un delincuente podría intentar conseguir que otras personas le envíen dinero enviando mensajes a amigos de la cuenta hackeada. A menudo, estos mensajes empiezan con un simple «Hola, ¿cómo estás?«. Una vez responden, el delincuente les pedirá dinero.

Aquí tienes un ejemplo de un mensaje de spear phishing, en el que la cuenta de John fue hackeada y el ciberdelincuente se acerca a su amigo Matthew a través de Facebook:

Los timos a través del spear phishing crean confianza usando detalles personales sobre los amigos o familiares del destinatario. Cuando oyes a un amigo en problemas, probablemente querrás ayudarle. Los ciberdelincuentes hacen un mal uso de esta tendencia creando una sensación de urgencia: John está atrapado en el extranjero y tiene que volver a casa lo antes posible. Si Matthew decide ayudarle, sin saberlo le transferirá dinero a una cuenta bancaria que no es de John, sino del ciberdelincuente.

El delincuente puede pedir que el dinero sea transferido por PayPal, Western Union, MoneyGram o Bitcoin. En algunos casos, los atacantes realizarán el esfuerzo de revisar toda la red de amigos de la cuenta hackeada e incluso leer mensajes antiguos. Usan esta información para hacer que su tentativa de phishing parezca lo más convincente posible.

¿Has recibido un mensaje de un amigo por correo electrónico, Facebook u otra red social pidiéndote dinero? Sé cuidadoso. Ponte en contacto con la persona con la que crees que estás hablando por, por ejemplo, teléfono. De esta forma puedes comprobar si realmente se encuentra en problemas. Si no, su cuenta fue hackeada.

“Phishing” a través del teléfono

A veces el phishing ocurrirá por teléfono. Esto puede suceder cuando los delincuentes ya han tenido acceso a la cuenta del banco de la víctima, pero necesitas más información.

Si la víctima coopera, sin saberlo les estará transfiriendo dinero a los delincuentes. Esto puede ocurrir de la siguiente forma:

1. El delincuente ha iniciado sesión en el banco de la víctima y empieza a transferir dinero a su cuenta.
2. El delincuente llama a la víctima haciéndose pasar por un empleado del banco, y le pide el número de autenticación de transacción, o TAN, que ha recibido la víctima (por ejemplo a través de un SMS).
3. Si la víctima le da el código (que en realidad se envió para verificar un pago), el delincuente lo usa para completar la transacción con su cuenta bancaria.

Los ciberdelincuentes también pueden hacerse pasar por un empleado de Windows o del fabricante de tu ordenador o smartphone. Dicen que te llaman para solventar un problema técnico. En su lugar, te hacen iniciar sesión en una web falsa, dándoles acceso a tu ordenador y a información personal.

En algunos casos, incluso instalan ransomware en tu dispositivo. Esto quiere decir que todos tus archivos serán cifrados y los toman como rehenes: no tendrás acceso a ellos a menos que pagues. Si eres víctima de ransomware, contacta con la policía.

Últimamente han aparecido informes de distintos tipos de phishing a través del teléfono. Un delincuente te llamará desde un número extraño, normalmente extranjero. Cuando descuelgas, no oyes nada. Solo después ves en la factura del teléfono que la llamada te ha costado una gran cantidad de dinero. Para mantenerte seguro de este tipo de timos, simplemente no respondas a ninguna llamada.

Si alguna vez te ha llamado un empleado de un cierto banco o empresa, no des rápidamente tu información personal, como la dirección o el número de tu cuenta bancaria. Asegúrate siempre de usar los números de teléfono oficiales de la empresa y comprueba si con quien estás hablando es en realidad un representante de la empresa.

Cómo reconocer y prevenir los ataques de phishing

¿Has recibido un correo electrónico, un SMS u otro mensaje de una institución oficial o un amigo pidiéndote dinero? ¡Piénsatelo dos veces antes de hacer nada! Ya parezca un mensaje del gobierno, una tienda en línea, la agencia tributaria, tu banco, una empresa de seguros o una web como Amazon, puede que en su lugar estés tratando con un delincuente.

Otros tipos de phishing son los muy conocidos correos electrónicos enviados por un «príncipe nigeriano» o de una familiar lejano diciendo que tienen acceso a una enorme cantidad de dinero. Antes de que puedan enviarte nada, sin embargo, necesitan que tú les transfieras algo a ellos. No caigas en este tipo de trampas. No son reales.

Debido a que el phishing puede ser difícil de identificar, es importante saber qué buscar cuando comprobamos si un mensaje es o no legítimo. Aquí tienes unos consejos que te ayudarán a reconocer un intento de phishing.

Consejo 1: Errores gramaticales, ortográficos o de salutación

Normalmente, los correos electrónicos de phishing se envían a mucha gente a la vez. Esto quiere decir que no siempre están personalizados. En su lugar, acabas recibiendo un correo electrónico con el habitual «Estimado Sr./Sra.» o algo similar al inicio. Siempre considera si es extraño que no se dirijan a ti apropiadamente desde, por ejemplo, tu banco, antes de hacer cualquier otra cosa con el correo electrónico.

Habitualmente puedes reconocer correos electrónicos sospechosos cuando contienen muchos errores ortográficos o gramaticales. Lo más probable es que los ciberdelincuentes que envían el correo electrónico no sean los mejores al escribir en castellano (o inglés si fuese el caso) y cometen errores obvios. Otra técnica que se suele usar en los mensajes de phishing es crear una sensación de urgencia. Cosas como «URGENTE», «IMPORTANTE» o «ÚLTIMO AVISO» pueden indicar que estás tratando con un correo electrónico de phishing.

Aun así, no es siempre el caso. Hay correos electrónicos y webs de phishing que no contienen ningún error e incluso empiezan con algún tipo de saludo personalizado. Por suerte, hay otras cosas que puedes vigilar, tal y como te contaremos en los otros consejos.

Consejo 2: Mira quien envía el correo electrónico

Los correos electrónicos de phishing se suelen enviar desde direcciones fraudulentas. Siempre mira la dirección de correo electrónico desde donde te envían el correo y comprueba si es legítima.

Por ejemplo, si eres cliente del Bank of America, tal vez recibas correos electrónicos oficiales desde direcciones terminadas en @bankofamerica.com. Debido a que los ciberdelincuentes no son propietarios de este dominio, no pueden usar estas direcciones de correo electrónico. En su lugar, lo intentan enviándolos desde un dominio muy parecido o usan un proveedor de correo electrónico genérico. Podrían, por ejemplo, usar [email protected] o algo terminado con @americanbank.com.

Y los errores ortográficos no suelen ser inusuales: añadiendo una letra o dos al dominio original, los delincuentes intentan engañarte haciéndote creer que, después de todo, el mensaje es legítimo. A veces, las direcciones de correo electrónico usadas para el phishing consisten en números y letras aleatorias. Estos son fáciles de detectar y nunca debes confiar en ellos.

En algunos casos, los mensajes de phishing parece que tengan un remitente fiable. Algunas veces incluso parece que se envían desde tu propia dirección de correo electrónico. A esto se le llama «email spoofing» y sucede muchas veces con el phishing y el «business email compromise» (BEC).

No caigas en ellos. Si tienes dudas, contacta siempre con el remitente buscando la información de contacto correcta en su web oficial. Si es un correo electrónico enviado desde tu propia dirección de correo electrónico, simplemente ignóralo.

Consejo 3: No compartas información personal

Si recibes un correo electrónico, texto u otro mensaje pidiéndote datos personales, por ejemplo los datos de acceso, puede ser una mala señal. Nunca compartas tu información personal o de cuentas a través de correo electrónico (o cualquier otro medio textual) si no tienes claro que sea completamente seguro.

Muchos negocios legítimos nunca te pedirán tu información directamente. Esto es especialmente verdad cuando se trata de contraseñas, códigos TAN y otra información específica de una cuenta. No importa cómo de legítimo parezca un correo electrónico o mensaje, mantén en privado tus datos.

Si no tienes claro si un mensaje es legítimo o no, contacta con la organización real a través de su web oficial o llámalos. Nunca respondas a mensajes sospechosos y no hagas clic en enlaces en los que no confíes.

Consejo 4: Vigila los adjuntos sospechosos

Un simple clic en un adjunto en un mensaje de phishing ya puede instalarte spyware como keyloggers y troyanos en tu dispositivo. Abre únicamente archivos en los que confíes completamente y que estés esperando recibir. Debes estar atento a cualquier nombre o tipo de archivo que parezca fuera de lo ordinario.

No se debe confiar ciegamente en los archivos terminados en .zip o .exe. Incluso los archivos PDF no son siempre seguros. A continuación, encontrarás un listado de extensiones de fichero que podrían usarse en correos electrónicos de phishing.

• .bat (proceso por lotes)
• .com (archivo de comandos)
• .cpl (panel de control)
• .docm (Microsoft Word con macros)
• .exe (archivo ejecutable de Windows)
• .jar (Java)
• .js (JavaScript)
• .pif (archivo de información del programa)
• .pptm (Microsoft PowerPoint con macros)
• .ps1 (Windows PowerShell)
• .scr (salvapantallas)
• .vbs (Visual Basic Script)
• .wsf (archivo Windows Script)
• .xlsm (Microsoft Excel con macros)
• .zip (comprimido)

Si quieres saber qué tipo de archivo es un adjunto en concreto, simplemente comprueba las letras del nombre del archivo que hay a continuación del punto.

Los ciberdelincuentes pueden intentar engañarte añadiendo la extensión del archivo al nombre del archivo. Por ejemplo, pueden intentar hacerte creer que estás delante de un archivo PDF llamándolo «FacturaPDF.exe». En realidad, es un archivo .exe usado para instalar software malicioso.

Consejo 5: Cuidado con los enlaces sospechosos

¿Has visto un enlace en un correo electrónico en el que no confías? No hagas clic en él. No todos los enlaces te llevan al sitio donde dicen que te llevarán. Por suerte, puedes comprobarlo de forma sencilla pasando tu cursor por encima del enlace (¡sin clicar en él!) y comprobar la esquina inferior izquierda de tu navegador.

Una pequeña barra blanca aparecerá con la web concreta donde te lleva el enlace. ¿Es una web que no reconoces o no confías en ella? Pues entonces probablemente te enfrentes a un intento de phishing.

La dirección podría, incluso, parecer de una web fiable, pero hecha para engañarte. Siempre comprueba si todo está escrito correctamente y el dominio es correcto (por ejemplo, bankofamerica.com/info en lugar de bankofamerica.officialwebsite.com/info). Ten más cuidado cuando uses tu smartphone o tableta, ya que es muy fácil que accidentalmente hagas clic en algo.

Consejo 6: Mantente informado

La tecnología y la ciberdelincuencia están evolucionando constantemente. Continuamente aparecen nuevas formas de protegerse contra el phishing y otros tipos de delitos, al igual que los delincuentes buscan nuevas formas de engañar a sus víctimas. Por eso es importante mantenerse informado con las últimas noticias sobre phishing y todo lo conectado con él.

Si estás leyendo este artículo, ya vas por el buen camino. Asegúrate de echar un ojo también a nuestra sección de noticias (en inglés). Puede haber avisos sobre intentos de phishing internacionales emitidos por negocios o gobiernos.

Consejo 7: Confía en tu intuición

Si no estás completamente seguro de si confiar en un mensaje, correo electrónico o web, entonces no lo hagas. Más vale prevenir que curar. ¿Un mensaje parece extraño y demasiado bueno para ser verdad? No cliques en el enlace.

Ponte en contacto con la verdadera organización y pregúntales sobre ello. Si esto no es posible, también puedes buscar la dirección de correo electrónico del remitente en Internet.

Si es un intento de phishing que ya se ha estado usando durante un tiempo, probablemente otras personas ya hayan lidiado con él y pueden contarte si es seguro o no.

Cómo evitar el phishing

Hay muchas formas de identificar un correo electrónico usado para el phishing, pero es incluso mejor no tropezarte con ellos, para empezar. Aquí tienes unos trucos que te ayudarán a detener el phishing.

• Usa la autenticación de dos pasos en tus cuentas: si necesitas pasar por dos pasos al iniciar sesión en cuentas importantes (por ejemplo con un código de verificación), las posibilidades de que ciberdelincuentes consigan acceso total a tu cuenta son mucho más pequeñas.
• Activa tu filtro de spam o correo no deseado: tu proveedor de correo electrónico probablemente tenga alguna función que puedas usar para mantener el spam fuera de tu bandeja de entrada. Tal vez esto no consiga detener todos los correos electrónicos de phishing, pero te dará una capa adicional de seguridad, así que encontrarás menos correos electrónicos maliciosos. Asegúrate de poder recibir correos de cualquier dirección de correo electrónico importante colocándolas en una lista blanca, para que accidentalmente no acaben en tu carpeta de correo no deseado.
• Comparte tus datos solo en webs seguras: la barra de direcciones te dirá si la conexión entre tú y la web que estás visitando es segura. Si lo es, verás un pequeño candado cerrado en el lado izquierdo de la URL, además de «https://» (incluyendo la «s») en el enlace. Si esto no está, no deberías compartir ninguna información sensible en esa página. Muchas webs de phishing también empiezan usando el HTTPS, así que esta pequeña comprobación no te protegerá de todas las estafas. Aun así, es un inicio importante.

Trabajar cómo mula: delincuente por accidente

Algunos ataques de phishing son colaboraciones entre centenares de personas. La parte más grande del grupo consiste en las llamadas «mulas de dinero». Estas personas (a menudo estudiantes) abren temporalmente sus cuentas bancarias al dinero procedente del phishing.

De esta forma, el dinero robado puede enviarse de una cuenta a otra de forma rápida y sencilla, por lo que es mucho más difícil para las autoridades rastrear el dinero de vuelta al verdadero autor intelectual detrás de la operación. Como compensación, a las mulas de dinero se les permite quedarse con un pequeño porcentaje del dinero.

Las mulas de dinero suelen reclutarse por un «pastor». Esto ocurre en línea, con lugares de trabajo que parecen legales, pero no lo son, o en la vida real. Un pastor puede ir a los patios de los colegios y otros sitios públicos para preguntar a la gente si quiere ganarse un dinero extra. Muchas mulas de dinero no son conscientes del hecho de que lo que hacen es ilegal. Son cómplices de un ciberdelito sin ni siquiera saberlo.

El riesgo de que te encuentre la policía es mucho mayor para las mulas de dinero que para la persona detrás del ataque. Al fin y al cabo, la ruta del dinero robado empieza a través de las cuentas de todas las mulas.

Desalentamos a cualquiera de formar parte de estas prácticas. Si alguien te ofrece un trabajo que requiere que les des acceso a tu cuenta bancaria, ten por seguro que va a la «pesca» de algo.

¿Qué hago si soy víctima del phishing?

¿Has sido víctima del phishing? Las medidas de seguridad que deberías tomar dependen del tipo de estafa. Esto es lo que puedes hacer si has caído presa de una estafa de phishing:

• Si le has dado a alguien tu información bancaria, bloquea tu tarjeta y llama a tu banco.
• Si es una cuenta de un servicio en línea, cambia tu contraseña rápidamente y otra información crucial.
• Cuando haces clic en un enlace sospechoso o descargas software malicioso, usa un antivirus para analizar tu ordenador y poner en cuarentena cualquier virus.
• Siempre contacta con la empresa o persona real y cuéntales lo que ha ocurrido. Tal vez puedan ayudarte o por lo menos advertir a otros.
• Informa del ataque de phishing a las autoridades apropiadas, por ejemplo, a la policía.
• Informa a tus amigos (en línea) sobre la estafa. El delincuente puede usar tus datos para conseguir más víctimas.

Conclusión

El phishing es un desagradable tipo de delito en línea. Hacer clic en enlaces maliciosos o iniciar sesión en la web incorrecta puede tener consecuencias desastrosas. Para estar seguro de no ser una víctima de esto, es importante mantenerse informado. Saber cómo reconocer un mensaje de phishing y qué hacer cuando recibes uno.

Mantén el phishing a distancia configurando tus cuentas de forma correcta. ¿De todas formas te ha ocurrido algo? Asegúrate de contactar con la organización correcta y sigue los pasos a seguir para mantener los daños al mínimo.