La digitalización del día a día hace muchas facetas de nuestra vida más sencillas y cómodas. Pero, al mismo tiempo, su uso diario debe llevar consigo algunas precauciones. En los últimos años, las estafas digitales han proliferado. El phishing (del verbo ‘pescar’ en inglés) es una de las más habituales y, sobre todo, más afectivas, ya que el usuario cree que no está siendo estafado.
¿Qué es exactamente el phishing?
El phishing puede darse tanto en correos electrónicos como en SMS, que son los medios más habituales, pero también pueden ser llamadas telefónicas. En cualquier caso, la persona que está tras el mensaje estará tratando de imitar a una empresa real.
Normalmente, estos mensajes apelan a un error o fallo que requiere de una solución urgente. De esta manera, piden al usuario contraseñas, números de cuenta, que se descargue archivos… El email, SMS o llamada adopta las maneras, formas y logos de las empresas reales, además de que pueden crear URL falsas que imiten a las oficiales con un rango de parecido muy alto. Pero entonces, ¿cómo evitamos ser víctimas de phishing?
1. Nunca, nunca facilitar datos personales o bancarios
Excepto que seas tú mismo quien empiece la comunicación o sea a través de la app oficial, nunca hay que dar los datos personales o de la cuenta de banco.
En la mayoría de empresas, no se te piden datos personales directamente en el mensaje, sino que te invitan a iniciar sesión. Por lo tanto, hay que sospechar de cualquier email que pida contraseñas u otra información.
2. Ante la duda, llama
Si hay alguna duda de la veracidad y seguridad del email, llamada o SMS, hay que llamar a la entidad desde el número que tengamos de contacto.
En muchas ocasiones, las propias empresas te podrán decir si se trata de una estafa o no. Además, esto ayudará a dar parte.
3. No abrir ningún enlace
Si recibes un email o SMS de un remitente desconocido hasta el momento, o asegurando que hay que solucionar un servicio del que no dispones, hay que evitar pinchar en los enlaces.
Estos pueden llevar a sitios web fraudulentos o a descargas de malware. Acuérdate, además, de tener siempre activado el antivirus e incluso utilizar navegadores más seguros que Chrome.
4. Fíjate bien en el texto y direcciones
Es habitual que este tipo de estafas tengan erratas. Los errores pueden ser tanto ortográficos -escribir sin ‘h’ el mensaje de saludo- hasta gramaticales -un error de concordancia en el verbo-. Si encuentras fallos de este tipo, entonces elimina el email.
Además, para imitar a las empresas reales, suelen utilizar trucos similares al lenguaje leet (sustituir las vocales por números). De esta manera, crean dominios y URL reales que, si no te fijas bien, pueden parecer reales.
Un ejemplo muy claro es el de utilizar la ‘L’ minúscula (‘l’) como una ‘i’ mayúscula o el número ‘0’ como una ‘o’ mayúscula. Por lo tanto, revisa tanto el email del remitente como los enlaces para encontrar este tipo de trucos.
5. No usa protocolo seguro
Otra prueba de que el mensaje pueda tener fines fraudulentos es que las URL que adjunten no usen protocolo seguro: https://…
Este prefijo en los enlaces indica que el sitio web encripta la información personal que en él se aloje.
6. Cuidado con los archivos adjuntos
Si recibimos un mensaje en el que se adjunta un documento que, por casualidad, estabas esperando, tendemos a descargarlo sin pensar. Esto también lo aprovechan algunas campañas de phishing.
Por eso es recomendable revisar con mucho cuidado aquellos archivos adjuntos que nos envíen. En primer lugar, hay que asegurarse que el formato no sea un ejecutable -el más común es “.exe”, pero hay muchos más-, ya que estos son los que pueden contener malware.
En segundo lugar, siempre puedes abrirlo a través de Google Drive. Esto muestra el archivo como un HTML, de esta manera puedes comprobar su contenido.
7. Herramientas
Hay distintas herramientas para evitar este tipo de fraudes y que serán útiles cuando se quiera comprobar la veracidad de un email:
Virustotal. Esta web puede analizar tanto archivos como URL en búsqueda tanto de software malicioso como de motores contra antivirus. Aunque ayude a una rápida revisión, hay que tener en cuenta que el malware se actualiza constantemente, por lo que puede dar “falsos negativos”.
unshorten. Este servicio permite descomprimir una URL. En muchas ocasiones, los enlaces se acortan a través de herramientas como bitly, esta web te permite ver el enlace original para comprobar su veracidad o falsedad.
Whois. Esta web muestra la propiedad de los dominios (URL), por lo que puede ser muy útil para asegurarnos de que un enlace es oficial.
U2F. O Segundo Factor Universal. Este sistema funciona como una llave tradicional: para iniciar sesión, además de la contraseña, será necesario conectar el dispositivo móvil al ordenador. Así, aunque roben la contraseña, no podrán acceder. La mayoría de servicios web tienen este protocolo.
Comments