Seguro que esta historia te suena. Un príncipe nigeriano se encuentra en un grave aprieto: su padre le ha legado una vasta suma de dinero en una cuenta en el extranjero, unos 32 millones de dólares, y necesita reclamarla en el plazo de un mes.

El problema es que, para poder transferir el dinero legalmente, primero debe abonar los honorarios de los abogados y las comisiones de firma. En el correo, intenta llegar a un trato contigo: si le puedes enviar el dinero que necesita (entre 20 y 30 mil dólares) y avalar la transferencia bancaria, te enviará el 30 % de la fortuna de su padre, es decir, unos suculentos 9,6 millones de dólares.

No debiera sorprendernos que, si decidieras aceptar su oferta, se quedara con tu dinero alegremente y nunca más volvieras a saber de él. Esta estafa se denomina timo 419 o timo nigeriano y es una de las versiones más conocidas de las estafas de phishing.

Y... por eso ya casi no se ve.

¿Qué es el phishing?

El phishing, aparte de evocar la pesca (si sabes inglés), es, básicamente, cualquier intento de engañar a la gente por correo electrónico. La finalidad puede ir desde intentar que la gente envíe dinero, facilite información confidencial o simplemente descargue malware sin darse cuenta. Los artífices de estos ataques recurren a mentiras, estratagemas, la falsificación y la manipulación descarada con el fin de lograr su objetivo. Por todo ello, el phishing se enmarca en la denominada ingeniería social: un tipo de ataque que aprovecha la credulidad humana y no un fallo de hardware o software para lograr su cometido.

El phishing es un intento de engañar a alguien, normalmente por correo electrónico

Dicho esto, puesto que en la mayoría de los ataques de phishing se pide hacer clic en vínculos manipulados para descargar malware o llevarte a sitios web falsificados, un buen antivirus te ayudará a protegerte de los fraudes más sofisticados.

Todo es culpa de AOL

Las personas se han mentido y estafado desde que existe el lenguaje, por lo que el phishing es, en muchos aspectos, la ciberamenaza más antigua del mundo. Sin embargo, el término «phishing» se documentó por primera vez el 2 de enero de 1996 en un grupo de noticias de Usenet llamado AOHell, donde se hablaba sobre el aumento de personas que estafaban y mentían en America Online. Este término está claramente inspirado en el vocablo «fishing» (pescar), que se pronuncia igual, porque el estafador intenta que alguien pique y caiga en la trampa. La sustitución de la «f» por «ph» evoca otro antiguo término de jerga, «phreaking», que hace referencia al estudio, la exploración y la disección de los sistemas de telecomunicación. La combinación «ph» se empleó para vincular las estafas con el lado oscuro y sórdido de la comunidad phreaking (que antes se llamaba «comunidad warez») en la que se originaron.

En los primeros ataques de phishing, los autores fingían ser empleados de AOL que pedían a los usuarios que confirmaran a la compañía su dirección de facturación. Como esto pasó antes de que el phishing se popularizara y las compañías no eran tan estrictas como hoy en día, las personas solían caer en este tipo de timos. Finalmente, AOL fue la primera empresa que avisó a sus clientes de que nunca les pediría esa clase de información por correo electrónico, pero para entonces el daño ya estaba hecho. La viabilidad de los ataques de phishing había quedado demostrada y ya no había marcha atrás.

Los más guays lo hacen

Aunque el ransomware es noticia, los ataques de phishing son, de lejos, el tipo de amenaza virtual más común y que más víctimas alcanza. Su prevalencia se debe, en gran medida, a su versatilidad: el phishing puede ser tanto un fin en sí mismo como una puerta de acceso para otros ataques. Esto, sumado al hecho de que la gente sigue cayendo en la trampa día tras día, hace que los hackers continúen usando estás tácticas que tan bien funcionan.

Fíjate en estos datos contrastados:

Los 10 principales señuelos de phishing de 2016 para conseguir credenciales

O sea, que es como spam, ¿no?

Si bien el phishing y el spam se solapan en ocasiones, estos dos tipos de amenazas son muy distintos. El spam es cualquier correo electrónico no deseado o masivo que intenta abarrotar la bandeja de entrada, mientras que el phishing tiene una finalidad muy concreta e ilegal. Los correos electrónicos de phishing pueden ser spam y, para un lego cualquiera como yo, suelen serlo. No obstante, si eres un director general, el dueño de un negocio o, pongamos por caso, un presidente de campaña, entonces es muy posible que los hackers hayan elaborado una estafa de phishing única específicamente para ti. En este caso, no se podría clasificar como spam. Phishing y spam: no es lo mismoAsimismo, el spam es molesto, pero no es ilegal ni realmente «malo» per se. Como muchas cosas en la vida, el spam es tan bueno o tan malo como el uso que se haga de él: lo puedes utilizar para hacer publicidad de las bajas tarifas de tu negocio local o, si eres un hacker, para propagar un supervirus que acabará con el mundo. Se trata, pues, de un instrumento habitual de los phishers, pero estos dos términos no se pueden usar indistintamente.

¿Qué pasa si muerdo el anzuelo?

Los efectos de ser víctima de una estafa en un correo de phishing dependen de qué es exactamente lo que el estafador quiere de ti. En el ejemplo del principio del artículo, está muy claro: quiere tu dinero. Ahora bien, algunas de esas estafas también solicitan una «prueba de autenticidad», para lo que piden que escanees y remitas copia de tu pasaporte, carné de conducir y más, con lo cual podrían robar o vender tu identidad. Sin embargo, como esos tipos de estafas ahora son menos populares, es poco probable que alguien caiga en ellas.

El tipo más común de ataques de phishing es aquel en que se intenta engañar al usuario para que facilite un nombre de usuario y una contraseña, ya sea con un vínculo a una versión falsificada de un sitio en el que confía, donde se le pide que inicie sesión, o solicitando su envío por correo electrónico (más información abajo). En estos casos, no solo pones en peligro esa cuenta particular, sino que, si formas parte del 84 % de personas aproximadamente que reutiliza las contraseñas, también puedes estar poniendo en peligro todas tus otras cuentas.

Por último, si eres víctima de un ataque de phishing donde te piden que descargues un archivo adjunto malicioso y el antivirus no lo ataja, enhorabuena: ahora tienes un equipo infectado. Lo que suceda a partir de ahí depende de la misión del malware, pero puede ser cualquiera, desde robar tus datos, secuestrarlos, borrar todo o solamente «tomar prestada» tu potencia de procesamiento para cazar bitcoines.

Tipos de ataques de phishing

Existe un montón de tipos distintos de ataques de phishing, pero todos se basan en el mismo mecanismo básico: aprovecharse de la confianza, ignorancia o apatía humana con el fin de lograr que hagamos algo que, en realidad, no deberíamos hacer.

Phishing personalizado para apuntar hacia lo más alto

Algunos phishers se conforman con robar el dinero, los datos y la seguridad de cualquier persona de la red, pero hay otros con objetivos más ambiciosos que, ya sea por razones personales, políticas o financieras, deciden convertir en su blanco de actuación a personalidades concretas muy destacadas. Este tipo, que se llama phishing personalizado, es más preciso y, a menudo, se dirige a «peces gordos»: políticos de alto nivel, celebridades y directores generales, todos los cuales tienen acceso a datos valiosos (y a mucho dinero en efectivo).

El phishing personalizado es un ataque preciso a un blanco concreto destacado, como un director general, o sea, un «pez gordo»

Suplantando a un contacto conocido, un empleado, un amigo, un socio o incluso a otra organización, los atacantes de este tipo envían a sus objetivos mensajes de correo cuidadosamente elaborados, bien documentados y, a menudo, muy específicos. Normalmente, la finalidad es lograr que descarguen algún tipo de malware que les dará acceso al sistema, pero un nombre de usuario y una contraseña también podrían proporcionarles derechos administrativos en la red, lo cual sería igualmente desastroso.

Si los hackers desean convertir en blanco de su ataque a toda una empresa u organización, podrían llevar a cabo un ataque waterhole, por el que los atacantes dirigen a la organización a una página que usa con frecuencia (WhatsApp, Facebook o Slack) y envían vínculos de phishing de este modo. Estos, al igual que los correos electrónicos tan personales que se envían a una persona, suelen estar muy documentados y es difícil distinguirlos de mensajes más auténticos.

Como son altamente personalizados, estos ataques son casi tan eficaces como los ataques de AOL de antaño y constituyen la causa del 91 % de los delitos informáticos fructíferos contra organizaciones.

Phishing de clonación: el gemelo malvado

Todos, hackers incluidos, recibimos correos electrónicos oficiales de nuestros proveedores de servicios y, aunque nos pueda parecer una molestia o una tarea, ellos ven una oportunidad. El phishing de clonación se produce cuando un hacker copia un correo electrónico legítimo de una organización fiable y sustituye o añade un vínculo que lleva a una página web falsificada y maliciosa. Luego envía ese correo de forma masiva y espera a que alguien haga clic.

Alguna veces, el vínculo lleva a una página infectada, pero hoy en día es más común que intenten robarte el nombre de usuario y la contraseña con una pantalla falsa de inicio de sesión. De ese modo, pueden acceder a la cuenta en la que pretendías iniciar sesión... y a cualquier otra que tenga la misma contraseña (y por eso nunca deberías usar la misma contraseña dos veces).

Si el malware del PC o router te redirige a un sitio falsificado, se denomina pharming. El nombre es parecido pero, aparte del objetivo de hacerse con las credenciales de inicio de sesión (y de que empiezan por «ph»), estos dos tipos de ataques no tienen mucho en común.

El timo 419: una oportunidad única

A pesar de tomar su nombre de la sección del código penal nigeriano en materia de fraude, un timo 419 o nigeriano puede proceder de cualquier parte del planeta. Tradicionales y tan conocidos que rayan en lo inútil, estos timos relatan historias elaboradas para intentar que envíes dinero, así como, posiblemente, hacerse con tus datos personales y robarte la identidad.

En la actualidad, los estafadores empiezan siendo amigos virtuales o lejanos socios antes de que el «infortunio» se cebe en ellos: de repente, necesitan dinero

Antes, eran mucho más habituales, y normalmente se prometía una recompensa mucho mayor si se pagaba un importe pequeño en comparación. Ahora, los estafadores primero se hacen amigos de alguien fingiendo ser amigos virtuales o lejanos socios antes de que el «infortunio» se cebe en ellos: de repente, necesitan dinero y, para lograrlo, se aprovechan de la naturaleza compasiva de su víctima. Estas nuevas estafas se parecen bastante al phishing, pero se asemejan más, técnicamente, al «catfishing» o «spoofing» (suplantación de identidad), así que no vamos a entrar en mucho detalle, pero merece la pena mencionarlas.

Phishing telefónico: otros impostores

La mayoría de los ataques de phishing atentan contra la bandeja de entrada, pero no todos. En ocasiones, los phishers llaman o envían un mensaje fingiendo ser del banco o de la policía y afirman que hay algún problema con tu cuenta que es preciso resolver. En cuanto les das tu número de cuenta y el PIN, te vacían la cuenta, que es lo contrario del problema que pretendías solucionar. Esto se denomina phishing telefónico o vishing, contracción de «voice phishing» (phishing por voz).

El phishing también se puede dar por teléfono

Aunque no es tan popular como el phishing por correo electrónico, el que se lleva a cabo por teléfono está aumentando. Además de simular que son del banco, los impostores también pueden hacer creer al usuario que son de Hacienda, del soporte técnico o de una compañía de suministros. En realidad no se puede descartar nada.

Entrega especial: ¡es malware!

Además de intentar robarte los datos, como ya hemos señalado, casi todos los tipos de phishing se pueden emplear para introducir malware en el sistema del usuario. Un vínculo puede llevar a un sitio web fraudulento o un archivo adjunto podría ser malware. Vamos, es que ahora hasta un documento o una hoja de cálculo de Google pueden ser malware, y todo gracias al crecimiento de los ataques sin archivos, que corrompen un software seguro y fiable volviendo a codificar sus mecanismos internos para cometer ciberestafas.

Las artimañas que los hackers pueden utilizar no han hecho más que crecer de la mano de los nuevos dispositivos y servicios que usamos a diario. Han usado invitaciones de Documentos de Google engañosas, el intercambio a través de Dropbox, facturas falsas, recibos, faxes... todo lo que se les ha ocurrido para conseguir que los más crédulos hagan clic y descarguen el archivo. Como hemos señalado, es tan común y eficaz que se está convirtiendo rápidamente en el método preferido para propagar el malware y estafar a millones de personas del mundo entero todos los años.

Sin embargo, lo bueno es que el malware no puede usar ingeniería social para zafarse de un buen antivirus, así que, aunque el phishing pueda introducir malware en la bandeja de entrada, AVG puede evitar que provoque daños. Pero no nos adelantemos.

Ejemplos de correos electrónicos de phishing

El problema de los ataques de phishing es que son tan corrientes y están tan vinculados a la época y las circunstancias que los rodean que cada ejemplo puede ser bastante ordinario. A continuación, vamos a diseccionar un correo electrónico de phishing común, pero sigue habiendo muchos casos de phishing que acaban en las noticias. Vamos a ver cómo son.

Los phishers ante los tribunales

Ya hemos hablado sobre los primeros ataques de phishing, que se produjeron en AOL y en los que los artífices se hacían pasar por miembros del personal con la finalidad de obtener los datos de pago de los clientes. Sin embargo, AOL fue la primera en algo más en el mundo del phishing: en 2004, la Comisión Federal de Comercio de EE. UU. interpuso la primera demanda contra un presunto phisher, un adolescente de California, que presuntamente usaba una versión falsa del sitio web de AOL para robar los datos de las tarjetas de crédito de los usuarios. Un año después, el senador Patrick Leahy promulgó la Ley antiphishing de 2005, que consolidaba la legislación relativa al carácter delictivo de los correos electrónicos y los sitios web fraudulentos, e imponía multas de hasta 250 000 $ y un máximo de cinco años de prisión a los infractores.

Grandes fechorías en el Reino Unido

En lo que se llegó a calificar como el mayor caso al que la unidad de lucha contra el fraude de la Policía Metropolitana de Londres tuvo que hacer frente, tres hombres fueron arrestados en 2013 acusados de haber estafado 59 millones de libras a clientes de bancos en más de 14 países usando más de 2.600 páginas falsificadas que imitaban a las de los propios bancos. Vivían en hoteles de lujo y finalmente fueron capturados mientras usaban la red wi-fi del hotel para iniciar sesión en servidores donde se almacenaban los datos bancarios robados. (Si hubieran tenido conocimiento de los peligros de las redes wi-fi abiertas, quizás se habrían salvado. ¡Delincuentes, usad una VPN!). Cada acusado fue condenado a 20 años de prisión y, poco después, se recuperaron los datos de casi 70 millones de clientes bancarios.

Operación «Phish Phry»

Esta investigación, que duró dos años y fue dirigida por las autoridades estadounidenses y egipcias, fue designada con el mejor nombre en clave del mundo y llevó a acusar a 100 personas de emplear estafas de phishing para robar datos de cuentas de miles de usuarios en 2009. En el desarrollo de sus actividades, los delincuentes habían conseguido robar un millón y medio de dólares.

Al final, algunos de los acusados pasarían 20 años entre rejas. Otros iban a estar menos tiempo, pero todos se dieron palmaditas en la espalda por el buen trabajo realizado en esta investigación internacional de phishing, que ha dado en llamarse el mayor caso internacional de la historia.

Y un dato curioso: ¿sabes quién fue el director del FBI que la supervisó? Robert Muller. Exacto, el mismo.

El ataque a la cadena de supermercados Target

El ataque cibernético a Target, perpetrado en 2013, atrajo la atención internacional cuando se descubrió que los datos de más de 110 millones de clientes se habían visto comprometidos, con lo que la empresa tuvo que afanarse a fin de proteger sus propiedades y avisar a los clientes afectados. Lo que tal vez no sepas es que todo empezó por un ataque de phishing, pero no contra la propia compañía Target. Los hackers enviaron phishing a un contratista de calefacción, ventilación y aire acondicionado radicado en Pittsburg, el cual estaba conectado al sistema de Target debido a su estrecha colaboración.

El ataque a Target, una de las mayores filtraciones de datos de la historia, comenzó con un ataque de phishing

Los perpetradores robaron las credenciales de red a través de una estafa de phishing por correo electrónico, y esto les sirvió para introducir en el sistema el malware que luego se propagó a Target y se apropió de datos de tarjetas de créditos de miles de cajas registradoras.

Este también es uno de los primeros casos en que se podría culpar a la mala gestión del equipo directivo por el incidente. Tanto el director general como el director de información de Target fueron cesados por estar al tanto de los fallos en la seguridad y no subsanarlos debidamente. Está bien que el karma cierre el círculo, pero eso no fue un gran consuelo para los millones de consumidores damnificados.

Y también ocurre en política

Quizás la mayor estafa de phishing del año pasado se produjo en el panorama político estadounidense, cuando John Podesta, presidente de campaña de Hilary Clinton, picó el anzuelo de un correo de phishing que desembocó en la filtración de los correos privados de la entonces candidata. A menudo citado como un momento decisivo en las elecciones de 2016, el ataque dejó al descubierto información personal y profesional de la excandidata y suscitó un debate acerca de la ciberseguridad y una investigación para hallar al culpable. No obstante, la otra vertiente del espectro político también ha sufrido problemas de phishing: Gizmodo, que demostró la vulnerabilidad de la Casa Blanca al mando de Trump atacando con phishing a todo el personal, documentó que ocho personas (incluidos el asesor Newt Gingrich y el director del FBI James Comey) cayeron en la trampa de su correo electrónico.

Cómo detectar un correo electrónico de phishing

Dado que las finalidades de los correos de phishing son tan variadas, estos pueden adoptar aspectos muy diversos. Vamos a ver varios ejemplos, pero la mayoría se caracteriza por los mismos atributos básicos:

  • Faltas de ortografía y errores gramaticales
  • Vaguedad
  • Vínculos o archivos adjuntos extraños
  • Remitentes extraños o mal escritos

Por desgracia, estos atributos no se encuentran en los correos electrónicos de phishing personalizado, que están diseñados para engañar a personas u organizaciones concretas, así que ni son vagos ni introducen estratégicamente faltas de ortografía y errores gramaticales como en otros correos de phishing más comunes.

Pero nos estamos adelantando.

Phishing de clonación

Un correo de phishing que imita a TrustedBankEste sería el ejemplo perfecto de un correo electrónico de phishing de clonación, ya que exhibe todos los signos reveladores. En primer lugar, no se dirige directamente al destinatario y el cuerpo del mensaje no presenta ningún indicador personal. Para acreditar su autenticidad, los correos electrónicos que envían las empresas reales incluyen tu nombre, tu número de cuenta o algún otro dato del que dispongan para demostrar que son ellos. Este correo no tiene nada de eso.

Pero la segunda señal, más evidente, es el vínculo que hay en el mensaje: dirige a un sitio HTTP, no verificado ni seguro. Cualquier vínculo auténtico dirigiría a un sitio HTTPS, aunque, en ocasiones, se intenta ocultar el vínculo usando hipertexto:  Un correo de phishing que imita a Netflix con vínculos de hipertexto manipuladosNo obstante, siempre puedes pasar el ratón por encima para ver adónde lleva. Con todo esto, lo más seguro que se puede hacer si se recibe un correo de este tipo es no hacer clic en el vínculo, sino entrar en la página directamente desde el navegador web. De esta forma, puedes tener la certeza de que estás en el sitio auténtico.

El correo anterior también muestra otra de las marcas de un correo electrónico de phishing: errores gramaticales. No, no es necesariamente porque todos los hackers suspendieran Lengua en el instituto. A menudo, los errores gramaticales y las faltas de ortografía son deliberados. El razonamiento de los hackers es que si alguien no se da cuenta de los errores ortográficos o gramaticales, se trata de una persona descuidada y, quizás, incluso un poco tonta, lo que significa que tardaría más en reaccionar si le robaran los datos, si es que llega a darse cuenta.

Vamos a ver el otro tipo más común de correo electrónico...

Correos electrónicos de distribución de malware

Son sumamente directos.Un correo de invitación a Documentos de Google de phishing Este es un ejemplo de un malware reciente que afectó a Documentos de Google, que ya hemos comentado arriba de pasada. Al hacer clic en el botón «Abrir en Documentos», estás invitando al malware a tu equipo. Vamos a ver otro:Malware adjunto en un correo de phishingY hay otros que son todavía menos sutiles:Un correo normal con malware adjunto En estos correos electrónicos realmente no se te intenta engañar: con sentido común y un poco de pensamiento crítico, casi todo el mundo los borraría. Lo que hacen aquí los hackers es aprovecharse de la apatía y la curiosidad a partes iguales: la misma táctica que emplean para lograr que la gente enchufe unidades USB infectadas.

Aun así, las señales son muy delatadoras. En primer lugar, las extensiones de archivo de los dos últimos correos son signos evidentes. No hay ningún motivo para que una imagen escaneada sea un archivo ZIP y nadie tiene que enviarte una página HTML para solucionar problemas con las cuentas. Se ve que los remitentes también son bastante raros: estoy convencido de que nadie de BuzzFeed necesita que colabores en ningún artículo, y «hortonhouse1@horntonhouse1.karzoo» no es un nombre de usuario muy creíble. En el segundo, la dirección del remitente es más convincente, pero ¿seguro que el equipo de atención al cliente tendría el «.com» en el nombre? Si no estás seguro, siempre puedes consultar la página de contacto en el sitio web.

Lo que está claro es que nunca debes descargar nada de cuya fiabilidad no estés seguro. Este es el consejo más importante para los correos electrónicos y para la vida (en algunos aspectos).

Phishing personalizado

El phishing personalizado es una amenaza más compleja.Un correo de phishing personalizado que imita un mensaje de confirmación de GoogleComo ves, en un correo de phishing personalizado bien hecho, se evitan muchos de los signos ya descritos. Se dirige a una persona concreta, utiliza un sitio web HTTPS y no contiene errores ortográficos ni gramaticales. En este caso, la señal delatora sería el remitente, Google ArAutoBot, que debería llamar la atención, pero, si estás ocupado en el trabajo y solo miras por encima, es un detalle fácil de pasar por alto.

Algunas veces, las cuentas falsas son más difíciles de detectar: el uso de caracteres de otros idiomas que son idénticos a los del inglés puede indicar que la URL es distinta técnicamente aunque su aspecto sea exactamente el mismo. Por ejemplo, usar la A mayúscula griega en lugar de la inglesa: para un humano, son exactamente iguales, pero en un equipo son muy distintas.

En parte, estos correos electrónicos son tan eficaces porque son muy personalizados. Una mejor planificación, como advertir a alguien antes de enviar un correo electrónico o cerciorarse de qué son exactamente los archivos adjuntos o vínculos antes de abrirlos, podría prevenir estas amenazas, pero, para muchos, el riesgo de los ataques de phishing no parece justificar el esfuerzo de prepararse ante ellos. Y, por esta razón, a los hackers les encanta valerse de esta herramienta.

¡Ayuda! ¡Hay un correo de phishing en mi bandeja de entrada!

Alerta de sirena roja pidiendo ayuda
Si dispones de una dirección de correo electrónico, existe una probabilidad muy alta de que llegue un día en que la abras y descubras que has recibido un mensaje de phishing. Sin embargo, no hay motivo para alarmarse: hemos recopilado una lista de pasos muy sencillos que puedes seguir cuando te encuentres en esa situación.

Paso 1: eliminarlo

 ¡Y ya está!

Bueno, vale... hay que hacer algo más. Aunque un ataque de phishing normal es inevitable y se puede ignorar, si llega a tu bandeja de entrada un intento de phishing personalizado, es fundamental que informes a tu jefe y al departamento informático (si existe en la empresa). Ningún hacker se conformará con enviar un solo correo electrónico y lo más probable es que se lo envíe a varios empleados a lo largo de semanas, meses o incluso periodos más largos; por ello, es importante no solo preparar a todos para que estén en guardia, sino también descubrir si otro empleado, menos informado, ha picado el anzuelo. Cuanto antes se subsanen las brechas de seguridad, menos daños es probable que se sufran.

También puedes denunciar las estafas de phishing comunes a la Comisión Federal de Comercio de EE. UU., si lo deseas, en OnGuardOnline.gov, donde también encontrarás información útil sobre estafas, phishing y cuestiones relacionadas. Si hay suerte, tu denuncia podría ayudar a arrestar a alguien.

¿Cómo puedo evitar los ataques de phishing?

Como he mencionado antes, el phishing es una desafortunada realidad: un antispam reduce la cantidad de correos electrónicos que se reciben, pero es probable que algunos se cuelen. No obstante, en lugar de preocuparte por mantener la bandeja de entrada libre de este incordio, es mejor mantenerse alerta ante sus peligros y protegerse de las posibles repercusiones que pueda haber si metes la pata y caes en uno de estos fraudes.

Presta atención

La mejor forma de evitar los correos electrónicos de phishing consiste, simplemente, en analizar aquellos que te produzcan hasta la más mínima sospechosa.

  1. Revisa la ortografía y la gramática.
  2. Asegúrate de que los vínculos sean seguros o utiliza directamente el navegador web.
  3. Fíjate en las extensiones de archivo.
  4. Mira el remitente y comprueba que no sea extraño.
  5. Cerciórate de que todo sea específico y de que el remitente pueda demostrar su identidad.

Solo se tarda unos segundos en realizar estas comprobaciones y te pueden evitar muchas complicaciones, ¡así que no seas vago!

Usa antispam

Casi todos los proveedores de correo electrónico integran algún tipo de antispam, pero no siempre son de la mejor calidad. Contar con un filtro de spam externo puede ayudar a rematar la tarea e interceptar los correos de phishing que se cuelan, pero, a menudo, dicho filtros solo sirven para bandejas de entrada de equipos de escritorio.

Piensa antes de dar tu dirección de correo

Una dirección de correo electrónico que anda por ahí «suelta» a disposición del público es una invitación al phishing. Normalmente, conviene tener dos o más direcciones de correo: una para registrarse en páginas web y abrir cuentas, y otra para el uso privado y profesional. De esta forma, la mayoría de los correos de phishing deberían ir a la primera cuenta, aunque, de todo modos, casi ni la mirarías.

Un buen software de seguridad

Como ya hemos explicado, un correo electrónico de phishing te pone delante un virus, pero eso es todo: no deja que el malware sortee el antivirus que tengas en el PC o el teléfono. Así, algo tan simple como, digamos, AVG AntiVirus FREE, garantizaría la protección del equipo en caso de que, por error, descargues archivos adjuntos engañosos. Una buena protección también te puede ayudar a protegerte de los sitios web falsificados, ya que los revisa uno a uno para buscar un certificado de seguridad adecuado y auténtico: esto significa que jamás habrá ocasión de que visites la página web falsa que los hackers han diseñado con tanto esfuerzo.

Descargar AVG AntiVirus FREE

 

Un comentario sobre el vishing

Evidentemente, las medidas que hemos detallado arriba no sirven si se trata de un ataque de vishing, pero eso no quiere decir que no se pueda hacer nada para protegerse. Para empezar, Apple, Microsoft y otros gigantes tecnológicos nunca te llamarán porque haya un «problema» con tu dispositivo, y mucho menos a través de «agentes independientes», así que, si alguna vez recibes una llamada de este tipo, puedes colgar directamente o liar un poco a tu interlocutor. Saca el máximo partido de la situación. Cuando te llaman de un banco, siempre se dirigen a ti por tu nombre y, aunque te pueden hacer preguntas de comprobación para asegurarse de que eres tú, no te pedirán el PIN, el número de la seguridad social, ni ningún otro número privado. Lo mismo se aplica si te llama alguien que afirma ser de la policía: nunca van a necesitar comprobar tus datos bancarios por teléfono.

Los gigantes tecnológicos nunca te llamarán porque haya un «problema» con tu dispositivo, así que puedes liar un poco al estafador, que no sabrá que estás jugando con él

De igual modo, si alguien asegura ser de Hacienda o de otra entidad a la que «debes» dinero y solicita que realices una transferencia bancaria o que pagues con tarjetas de prepago, ya sabes que se trata de un fraude. Estos métodos de envío de dinero son imposibles de rastrear y por eso los eligen los estafadores.

¿Y si aún tienes dudas? Cuelga y llámales tú, pero usa el número que figura en el sitio web oficial de la entidad. Cualquier entidad real no tendría ningún inconveniente en que hicieras eso, solo los estafadores protestarían.

Resumiendo

Seguro que esta historia te suena.

Un techador profesional de 29 años entra en su cuenta de correo electrónico después de un largo día de trabajo y al mirar los mensajes, encuentra uno raro: un desconocido le pide que colabore en un documento de Google. Le intriga un poco saber quién será el remitente, y el cotilla que hay en su interior tiene muchísimo interés en ver lo que hay en ese documento,

pero antes de hacer clic en el botón «Abrir en Documentos», para un momento y pasa el ratón por encima. Se fija en la URL que aparece en la esquina y se da cuenta de que, lleve a donde lleve el vínculo, lo que está claro es que no es un documento de Google. Suspirando con alivio, enseguida borra el mensaje de correo y sigue con sus cosas.

A lo mejor no es tan apasionante y dramática como la del príncipe nigeriano que ha perdido sus millones, pero esta es la historia que queremos empezar a oír más: la de personas que usan el sentido común y se contienen cuando se topan con cosas raras, curiosas y probablemente peligrosas en Internet. Porque con un poco de previsión y cautela, la herramienta más maliciosa y popular del arsenal de un hacker es totalmente inútil,

¡y no hay forma mejor de sentirse poderoso!

Descargar AVG AntiVirus FREE

 

AVG AntiVirus FREE Descarga GRATUITA