Ejemplos de phishing
Es probable que en este mismo momento haya muchos de los siguientes ejemplos en tu carpeta de spam. Cada día se envían millones de correos electrónicos de phishing, con variaciones prácticamente ilimitadas. Fíjate en los siguientes criterios y busca las señales que te indican un intento de phishing.
Correo electrónico de amigos (que no lo son)
Es fácil "falsear" (utilizar un nombre falso) el nombre de un remitente en un correo electrónico. Los piratas informáticos suelen acceder al correo electrónico o a la cuenta de redes sociales de una víctima, copian sus contactos y luego envían correos electrónicos de phishing a todo el mundo haciéndose pasar por la víctima. No caigas en la trampa. Busca mensajes que no contengan caracteres y comprueba los remitentes pasando el ratón por encima del nombre para ver de dónde procede el mensaje.
Una respuesta a un correo electrónico que no enviaste
Un esquema de phishing muy extendido es un correo electrónico que se hace pasar por un aviso de que un correo electrónico que tu enviaste y no pudo entregarse.
Esta estafa funciona porque parece ser una respuesta a un correo electrónico que tu enviaste. El correo electrónico de suplantación de identidad casi parece útil; tu enviaste un correo electrónico que no se entregó debido a un problema con la contraseña. Haz clic aquí para ver una forma sencilla de solucionar el problema. El remitente, en este caso "exchange.postmaster", es ambiguo pero suena oficial. Los estafadores pueden falsificar los nombres de los remitentes, así que no te fíes. Si pasas el cursor por encima del nombre del remitente, verás el nombre real del remitente en una ventana emergente, como se muestra a continuación. En este caso, procede de una cuenta de correo electrónico de un sitio con el dominio "uwe.ac.uk". ¿Has hecho alguna vez negocios con una empresa llamada uwe.ac.uk?
Este correo electrónico llegó a una cuenta de Gmail (Google). Gmail comprobó automáticamente el remitente y se dio cuenta de que no parece ser una respuesta a un correo electrónico real, a pesar de que dice serlo.
El correo electrónico quiere que el destinatario restablezca una contraseña. Pero al pasar el ratón por encima del botón Restablecer se revela la dirección del enlace: expertlaserclinic.com/bureaucracyk.php.
En resumen, este correo electrónico se hace pasar por una respuesta a un correo electrónico inexistente. Si pasamos el ratón por encima del nombre del remitente y el botón Restablecer contraseña (o pulsamos el enlace en un dispositivo con pantalla táctil), podemos ver que el remitente y el enlace parecen ser, en el mejor de los casos, una estratagema de marketing y, en el peor, un enlace a un sitio de malware (código destructivo).
El mensaje urgente
Los intentos de suplantación de identidad suelen crear una sensación de miedo o urgencia para que reacciones con rapidez y quizás no prestes atención a las señales de advertencia. Utilizar el miedo es una forma de ingeniería social. Algunos temas comunes son:
- Tu computador está infectado con un virus.
- Tu cuenta de Seguridad Social ha sido pirateada.
- Hacienda está a punto de congelar tu cuenta o demandarte.
- Alguna cuenta, como la de Facebook, está a punto de ser bloqueada permanentemente, como el siguiente mensaje:
Mensajes de empresas con las que no haces negocios
He aquí un mensaje que se hace pasar por una comunicación con la USAA, una empresa de servicios financieros que atiende al personal militar.
Los bots informáticos (programas automatizados) los envían a diario por millones. La mayoría de los destinatarios ni siquiera tienen cuentas en USAA. Este fraude se basa en que muchas personas confunden el correo electrónico con uno legítimo. Si pasas el puntero del ratón por encima del remitente (o tocas la dirección de correo electrónico del remitente en un dispositivo con pantalla táctil), podrás ver que el mensaje procede de una cuenta de [email protected], como se muestra a continuación. Deberías ver el nombre de una persona real seguido de "@usaa.com."
Todas las instituciones financieras publican advertencias e instrucciones relativas al robo y el fraude en línea. USAA tiene las siguientes instrucciones publicadas en su sitio web:
Recuerde: Nunca le pediremos información personal, como números de cuenta o contraseñas. No le pediremos que descargue software en un correo electrónico. No responda a ningún correo electrónico que le pida que actualice su información personal en línea o marcando un número de teléfono. Utilice únicamente los números de atención al cliente que aparecen en usaa.com.
De forma similar, a la advertencia sobre hacer clic en los enlaces de un correo electrónico, busca tú mismo los números de teléfono y no te fíes de los números que ves en un correo electrónico. Puede que no conduzcan a la empresa.
Ni tu banco ni hacienda hacen negocios por correo electrónico
El correo electrónico no es un método seguro de comunicación. Ninguna organización o empresa legítima te pedirá NUNCA que reveles información confidencial en un correo electrónico. Es posible que recibas una notificación por correo electrónico de que tu banco tiene un mensaje para ti en su sitio web seguro, pero nunca van a enviar una solicitud de envío de datos personales a través de un mensaje de correo electrónico.
Comprueba siempre cuidadosamente la dirección de Internet (la URL) del sitio en tu navegador. Las direcciones de Internet son exactas y únicas. Los estafadores a menudo intentan engañarte con direcciones que se parecen o incluyen elementos de la dirección real.
Aprovechan la actualidad y las catástrofes
Para solicitar donativos, los estafadores se aprovechan de acontecimientos de actualidad, huracanes, terremotos y pandemias. Sólo toma unos minutos crear un sitio web o una campaña de financiación.
Asegúrate de no facilitarle tu cuenta bancaria y otros datos personales a un ciberdelincuente. Desconfía de los nuevos grupos sin ánimo de lucro que se aprovechan de la avalancha de donaciones en efectivo. Estos son algunos consejos para encontrar organizaciones benéficas legítimas:
- Haz donaciones a organizaciones benéficas que conozcas y en las que confíes.
- Accede al sitio web de la organización benéfica que desees tecleando la dirección (por ejemplo, "redcross.org") en lugar de hacer clic en los enlaces que aparecen en las solicitudes por correo electrónico.
- Cuidado con las nuevas organizaciones benéficas que aparecen de algún modo tras catástrofes como Harvey e Irma. Las catástrofes masivas ofrecen innumerables oportunidades para el fraude.
- Si buscas una organización benéfica con buena reputación, compruébalas con servicios que controlan las reclamaciones y el cumplimiento fiscal. Entre las fuentes de información fiables figuran Wise Giving Alliance, Charity Navigator, Charity Watch y GuideStar.
- Desconfía de los mensajes por correo electrónico. Comprueba cuidadosamente la dirección del remitente.
Recuerda que puedes designar el destino de tu dinero, por ejemplo, el huracán Harvey. Por ley, el dinero que presupuestes para un fin específico debe utilizarse exclusivamente para ese fin.
Sitios falsos y correos electrónicos engañosos
Los sitios web pueden ser clonados o suplantados. Los mensajes de correo electrónico pueden incluir elementos que los hagan parecer legítimos. A continuación se muestran dos correos electrónicos que supuestamente proceden de LinkedIn.
Si se comparan uno junto a otro, resulta obvio que uno de los mensajes es sospechoso:
- El mensaje falso contiene errores gramaticales. Los errores ortográficos y de uso de mayúsculas son comunes en los mensajes de estafa. El nombre propio "adam thomas" no está escrito correctamente en mayúsculas, pero "Personas que tal vez conozcas" en el pie de página sí lo está.
- El mensaje falso viene de alguien de @usm.edu. Un mensaje real de LinkedIn viene de ¿@linkedin.com.
- Aunque no es obvio a primera vista, la dirección de LinkedIn es incorrecta en el correo electrónico fraudulento.
Las faltas de ortografía, los errores de mayúsculas y los errores gramaticales son una señal de advertencia evidente: Este correo electrónico es sospechoso. Muchas estafas se originan en el extranjero, con ciberdelincuentes que no hablan inglés.
¡Dinero gratis!
No es de extrañar que pocas empresas quieran regalarte dinero de la nada. Eso no impide que los ciberdelincuentes te envíen mensajes de spam en los que le anuncian que eres un gran ganador.
No caigas en la trampa de "Estimado ganador de Microsoft". Fíjate en la solicitud de información personal que el estafador puede utilizar después para intentar acceder a tus cuentas.
Suplantación de identidad de empleados
Las estafas de phishing suelen dirigirse a las empresas. Los empleados reciben un correo electrónico que parece proceder de un directivo real en el que se les solicita información confidencial. La solicitud puede referirse a datos de los empleados o información de acceso (contraseñas, etc.) a sitios web o servidores de la empresa. El Servicio de Impuestos Internos (IRS) publicó el contenido de uno de estos correos electrónicos:
¿Pueden enviarme la lista actualizada de empleados con todos los datos (nombre, número de la Seguridad Social, fecha de nacimiento, dirección, salario?)
Hacienda sugiere que se verifique cualquier solicitud de este tipo antes de cumplirla.
Redes sociales
Los ciberdelincuentes utilizan con frecuencia plataformas de redes sociales como Facebook en sus intentos de phishing. Facebook tiene más de mil millones de usuarios, por lo que las probabilidades de que se trate de correos electrónicos aleatorios generados por bots de Internet son altas. He aquí un ejemplo típico.
Hay varios indicios gramaticales de que este correo electrónico es fraudulento, pero la dirección del remitente no deja lugar a dudas.
Concursos en Facebook
¿Te encantan esos tests que te emparejan con una estrella de cine favorita o con un personaje de Harry Potter? ¿Y los tests de inteligencia? No tan rápido. Algunos permiten acceder a información personal de tu perfil. Otros hacen preguntas sobre tu ciudad natal, el nombre de tu primera mascota, el nombre de tu profesor de instituto favorito y otras cuestiones que, como has adivinado, también se utilizan como preguntas "secretas" que debes responder para acceder a tu cuenta. Mejor dejar pasar los cuestionarios.
SMiShing: Phishing para tu smartphone
No creas que puedes evitar las estafas de phishing evitando usar la computadora y utilizando únicamente un smartphone o un dispositivo móvil. Los ciberdelincuentes tienen una estafa para cada dispositivo. (SMiShing? el nombre es una combinación de "SMS", acrónimo de un protocolo de texto estándar, y "phishing"). Una estafa popular envía mensajes para "confirmar" una compra o una suscripción. El destinatario hace clic en el enlace, alarmado al enterarse de que hay un cargo pendiente por algo que no ha pedido. Al abrirlo, el sitio web descarga un virus troyano.
Preguntas de repaso
¿Qué es el phishing?
El phishing es un intento fraudulento de obtener información confidencial, como contraseñas, nombres de usuario y datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza a través de comunicaciones electrónicas, normalmente correos electrónicos.
¿Cómo se puede identificar un correo electrónico de phishing?
Se puede identificar un correo electrónico de phishing buscando rasgos distintivos como correos electrónicos de amigos falsos, respuestas a correos electrónicos que usted no envió, mensajes urgentes, mensajes de empresas con las que no hace negocios y los que utilizan acontecimientos actuales y catástrofes para solicitar donaciones.
¿Es el correo electrónico un método de comunicación seguro para divulgar información confidencial?
No, el correo electrónico no es un método de comunicación seguro para revelar información confidencial. Ninguna organización o empresa legítima le pedirá nunca que revele información confidencial en un correo electrónico.