Phishing: cómo evitar caer en la trampa de los fraudes de internet

No caigas en la trampa del phishing. Te explicamos en qué consiste para que mantengas tu cuenta protegida en internet.

9 min de lectura

El phishing es uno de los ciberdelitos más antiguos. Se trata de un método muy sencillo y a la vez muy eficaz que los hackers emplean para engañar a la gente en internet. Con él consiguen que sus víctimas les envíen información confidencial o que se descarguen software malicioso. Sobra decir que lo mejor para defenderse del phishing es protegerse y estar siempre alerta ante cualquier mínima sospecha. Por eso, para ayudarte a estar alerta y protegerte en la red, te explicamos qué es el phishing y cómo evitar morder el anzuelo.

El phishing se remonta a mediados de los años 90, cuando usábamos internet a través de conexión telefónica. Se pronuncia igual que el vocablo inglés "fishing" (la "ph" pertenece a la jerga de los hackers), ya que su estrategia es similar a la de un pescador que intenta capturar peces soltando el anzuelo con un cebo, esperando a que la presa pique. A diferencia de los insectos o los gusanos, el cebo es una comunicación fraudulenta por correo electrónico, SMS o teléfono. El phishing es engañoso y se disfraza de una comunicación que parece venir de una fuente legítima. El mensaje presiona a la persona que lee el correo para que realice una acción inmediata. Por ejemplo, puedes recibir un correo electrónico, que a primera vista parece haber sido enviado por tu banco, que te informa de la existencia de un problema con tu cuenta. Por tu seguridad, te pedirá que actualices tus datos haciendo clic en un enlace. Si "picas" y abres el enlace, te dirigirá a una página que es una copia exacta de un sitio web auténtico (banners y marcas oficiales incluidos) para que introduzcas tus datos. A continuación, los hackers podrán robarte información confidencial, como contraseñas, números de cuenta o datos de tu pasaporte. Con esta información, los delincuentes pueden comprar por internet, robarte dinero o suplantar tu identidad. La buena noticia es que si sabes reconocerlo y no picas, sus tácticas no surten efecto.

Como el phishing se dirige a enormes cantidades de posibles víctimas (incluso millones al mismo tiempo), sigue siendo una herramienta muy popular entre los hackers. Tan popular que un informe del FBI del año 2017 reveló que más de 30 millones de dólares han sido robados a ciudadanos estadounidenses a través de esta técnica. Además, nada apunta a que el phishing se esté reduciendo: en 2018, el número de ataques prácticamente se duplicó. Aunque los sistemas de seguridad de muchas cuentas de correo electrónico tienen una detección de ataques eficaz, los métodos de los hackers son cada vez más sofisticados. Los correos repletos de faltas de ortografía con la increíble promesa de una transferencia millonaria con solo enviar tus datos bancarios han pasado a la historia. Ahora estos emails pueden contener información personalizada, logotipos y nombres de empresas o direcciones URL casi idénticas a las reales.

El correo electrónico sigue siendo el método de phishing más popular, pero los hackers emplean tecnología moderna para atacar a sus víctimas. Los smartphones son especialmente vulnerables; se prevé que el "smishing" (ataques de phishing por SMS) experimente un gran crecimiento, principalmente porque los sitios web falsos y fraudulentos son más difíciles de detectar en la pantalla de un móvil. Gracias al cifrado, la banca en línea moderna está protegida. Sin embargo, el phishing permite a los delincuentes acceder a información sin necesidad de saltarse las barreras de seguridad. Por ejemplo, en 2020, una campaña de phishing por SMS atacó apps de banca online en Norteamérica. Se enviaron mensajes a una gran cantidad de personas, y al clicar en el enlace que se incluía, las víctimas eran dirigidas a una página falsa de inicio de sesión en su cuenta de banca online. Para que veas lo importante que es prestar atención a los SMS, en esta trampa cayeron 4 000 víctimas.

Cuanto más genuino parezca ser un correo de phishing, más probable es que la víctima muerda el cebo. Por eso mismo, los hackers imitan marcas famosas que tienen muchísimos usuarios. Un informe de Vade Secure del año 2019 apunta que las marcas más populares para los hackers son PayPal, Facebook, Microsoft, Netflix y WhatsApp. Curiosamente, este informe también explica cuáles son los métodos más empleados por los correos de phishing para que las víctimas "piquen". A menudo, la correspondencia apunta a una "actividad inusual" en la cuenta de la persona, que deberá verificarla de inmediato. Pero hay métodos más creativos, como ofrecer descuentos ficticios, contenidos pornográficos gratuitos o facturas pendientes de pago (por ejemplo, de Amazon). Las campañas también pueden aprovechar acontecimientos de actualidad. En 2020, la Organización Mundial de la Salud (OMS) fue utilizada en un ataque de phishing. Los correos parecían recordatorios útiles de la OMS con pautas para prevenir la propagación del coronavirus. Aprovechando el pánico global por el virus, los usuarios hicieron clic en un enlace que dirigía a un documento y acabaron en una página falsa de inicio de sesión de Microsoft Outlook. Los datos que se introducían en esta página se enviaban directamente a los hackers.

Un ataque de phishing es cualquier intento fraudulento de encontrar víctimas. Algunos se conocen como "campañas", un tipo de ataque que suele emplear la misma plantilla de correo electrónico, que se envía a muchísimas personas (como la campaña de banca móvil en pleno brote de coronavirus). Sin embargo, hay tipos de ataques de phishing más sofisticados que cuesta más detectar. A continuación, te ofrecemos otras definiciones sobre el phishing que te serán de ayuda:

  • el "spear phishing" (pesca con arpón) ataca a personas concretas, como cuando quieres pescar un pez específico. Los hackers investigan a sus objetivos y les envían correspondencia personalizada. Estos ataques suelen dirigirse al personal de empresas, con mensajes que parecen provenir de sus equipos de trabajo. Un informe de Europol del año 2019 destaca el "spear phishing" como amenaza emergente;

  • el "whaling" (caza de ballenas) se dirige a grandes objetivos, como puestos de dirección o política. Este tipo de ataque de phishing requiere más esfuerzo, pero la recompensa puede ser enorme;

  • el "clone phishing" (phishing de clonación) es un ataque sofisticado que intercepta correspondencia auténtica. El hacker clona un correo electrónico auténtico de una fuente de confianza. Para la víctima, el correo parece la continuación de la conversación, pero puede contener un enlace malicioso;

  • el "vishing" es un phishing telefónico. El enfoque es el mismo: parecer auténtico para obtener información confidencial de la víctima. Te recomendamos actuar con precaución siempre que recibas una llamada inesperada que te solicita información confidencial.

¿Cómo puedes detectar los ataques de phishing? En ocasiones te darás cuenta de que un correo es de phishing por su saludo genérico (Estimado "Sr." o "Sra.") en lugar de emplear tu nombre. Lo verás más claro si el correo es de una empresa de la que no eres cliente; probablemente se trata de una campaña masiva. Ignóralo y denúncialo si lo consideras necesario. Siempre que recibas correspondencia que te pida realizar una acción, pregúntate esto: ¿esta persona suele ponerse en contacto conmigo pidiéndome este tipo de cosas por correo electrónico? Presta atención al tono y el vocabulario empleado, pequeños errores incluidos. ¿Hay algo que te resulte inusual? Presta mucha atención al remitente y, si tienes dudas, responde en un nuevo correo y no directamente. La mayoría de correos de phishing incluyen un enlace que te dirigirá a un sitio web falsificado. Estos sitios de phishing son un "portal" a través del cual enviarás información, sin darte cuenta, a los hackers. No olvides leer con detenimiento la dirección del sitio web en cuestión, p. ej., "wwwn26.com" vs. "www.n26.com". Presta atención al símbolo del candado (en Chrome) que indica que la conexión es segura. Duda siempre de los sitios web redirigidos (cuando la URL cambia y te dirigen a otra página). Si un enlace parece cuestionable y quieres ir sobre seguro, abre una nueva ventana y visita el sitio web directamente. Por ejemplo, si recibes un correo de PayPal con un enlace para iniciar sesión en tu cuenta, no te cuesta nada ir a PayPal directamente en tu navegador e iniciar sesión desde ahí. Si la correspondencia es genuina, puedes acceder a tu cuenta de esta forma para obtener más información.

Ten precaución siempre que te pidan que envíes información confidencial. Por ejemplo, el Servicio de Atención al Cliente de N26 nunca va a pedirte tu contraseña ni tu número de tarjeta de crédito. Además debes mantener el código de 10 dígitos de tu tarjeta siempre en secreto (no saques fotos a ese lado de la tarjeta). Otros consejos para prevenir el phishing son los siguientes:

  • procura que tu ordenador tenga un software de seguridad actualizado;

  • instala una extensión anti-phishing en tu navegador de internet.

  • crea una contraseña segura e infranqueable y nunca utilices la misma contraseña en dos cuentas distintas;

  • procura que tu teléfono móvil tenga las últimas actualizaciones instaladas;

  • activa la autenticación multifactor (o autenticación de 2 factores, "A2F"), es decir, un paso adicional para iniciar sesión, como es el caso del código que se te envía al teléfono móvil;

  • no publiques información personal en internet, ya que los hackers pueden utilizarla.

Con el aumento constante de la sofisticación del phishing, puede que seas víctima de un ataque pese a haber tomado todas las medidas para evitarlo. Si eso sucede, hay varias maneras de denunciar el incidente:

  • ponte en contacto con el proveedor de correo electrónico directamente. Por ejemplo, con el Soporte de Google;

  • ponte en contacto directamente con la empresa que ha sido imitada para que sepan lo que ha pasado;

  • si te han robado datos personales, ponte en contacto con la unidad de ciberdelitos de tu comisaría local. Los clientes de N26 pueden notificarnos estos incidentes a través del chat de la app o del sitio web de N26. No obstante, ahora que sabes todo lo que necesitas sobre el phishing y la seguridad de tu cuenta N26, esperamos que no tengas que pasar por ese mal trago. El phishing es una técnica muy popular, pero solo es efectivo si no estás preparado para detectarlo. Por tanto, mantente alerta, duda siempre, y recuerda este artículo para evitar caer en la trampa.

Dado que la popularidad de N26 aumenta día a día, ya hemos sufrido varias olas de ataques de phishing dirigidas a nuestros clientes. Estamos atacando estas campañas por todos los medios para garantizar que hagan el mínimo daño posible: contamos con un equipo experto en seguridad informática que se dedica a hacer un seguimiento de los sitios de phishing y eliminarlos en cuanto aparecen.

Artículos relacionados

Puede que estos artículos también te interesen