Logo Computerhoy.com

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos

Ofrecido por ESET

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos

El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para hacerse con las credenciales de usuario, datos bancarios o de cualquier otro tipo que puedan obtenerse cualquier persona que utilice internet.

Te mostramos algunos de los trucos que usa el phishing para engañar a los usuariosasí robarles sus datos personales al hacerles creer que se encuentran en una página legítima y segura. Pero te avanzamos que la forma más eficaz para evitarlos es tener instalada en tu ordenador una solución de seguridad anti phishing actualizada.

A pesar de que muchos de los cebos que utilizan los ataques de phishing son realmente burdos y resulta evidente que se trata de un engaño, sus técnicas han mejorado mucho en los últimos años y se han perfeccionado hasta hacerse complicado diferenciar entre lo real y la falsificación. ¡No te dejes engañar! Estos son los trucos que usa el phishing para obtener tus datos.

Un cebo atractivo para llamar la atención

El phishing utiliza la ingeniería social al intentar manipular al usuario para que sea él mismo quien entregue a los ciberdelincuentes la información que necesita.

Para ello, los ciberdelincuentes acostumbran a usar cebos para atraer la atención y la curiosidad de cualquier persona que utilice Internet. Uno de los métodos más utilizados es simular un problema con el pago de algún servicio que el usuario podría tener contratado.

Por ello, los phishers, nombre con el que se conoce a los ciberdelincuentes que utilizan estas técnicas de phishing para obtener datos de los usuarios, utilizan correos electrónicos que suplantan la identidad de servicios tan populares como Netflix, Apple, Amazon, PayPal, bancos, compañías eléctricas o telefónicas o agencias de envíos postales.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


El denominador común de todos estos correos fraudulentos es comunicar un problema con la tarjeta de crédito, con el pago de una factura o con la recepción de un supuesto envío que, por supuesto, no esperas.

Las redes sociales e incluso los mensajes SMS también son vectores de ataque habituales para el phishing. La mayoría de ellos se realiza a través de enlaces que te llevarán a una determinada página en la que, bajo el pretexto de acceder a un regalo, un premio, un concurso o cualquier otra excusa, intentarán robarte los datos de usuario y contraseña de servicios legítimos como Facebook, YouTube, Gmail, etc.

¿Cómo descubrir si el correo que has recibido es phishing?

Tradicionalmente, los correos de phishing no se caracterizaban por ser demasiado meticulosos a la hora de simular a los correos legítimos que el usuario podría recibir de los servicios que hemos citado.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


Basta con prestar atención a la ortografía del mensaje para detectar errores con las tildes o con las ñ. Estos fallos son tan comunes porque los ciberdelincuentes traducen los mensajes “a bulto” y no prestan atención a la codificación especial de determinados caracteres propios del español, por lo que donde debería haber una vocal con tilde o ñ, la palabra muestra una serie de caracteres extraños. Cervantes les ha ganado la primera batalla.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


Otro detalle que debes tener en cuenta a la hora de detectar si un correo es phishing es la dirección del remitente. Los cibercriminales menos cuidadosos ni siquiera se habrán molestado en disimularlo y mostrarán una dirección de correo en la que nada indica que procede de la compañía que dice ser.

Otros, en cambio, utilizan técnicas de suplantación de correo o spoofing para que en el campo de remitente se muestre el dominio desde el que habitualmente se envían los correos legítimos de este servicio, de modo que no resulta tan evidente que se trata de un engaño y es más difícil de identificar incluso para los usuarios más experimentados.

En estos casos, y ante cualquier sospecha de que se trata de un intento de phishing, lo mejor es realizar una búsqueda por tu cuenta desde una nueva ventana del navegador y, desde allí, iniciar sesión para comprobar si realmente existe algún problema. Sobre todo, es importante no acceder desde los enlaces que se facilitan en ese mensaje.

Enlaces a copias exactas de las páginas legítimas

Si haces clic en alguno de los enlaces que se incluyen en el correo de phishing que has recibido, es muy probable que te dirija a una página web con un diseño idéntico al original –dependiendo de la meticulosidad de los ciberdelincuentes, claro—. Que tus ojos no te engañen, incluso aquí serás capaz de detectar irregularidades que delaten que se trata de un phishing.

En primer lugar, hay que destacar un hecho relevante. Si tuvieras una solución de seguridad con sistema antiphishing instalada en tu ordenador, esta ya habría bloqueado la carga de esta página y te habría avisado de que se trata de un fraude, además de un riesgo para tu seguridad y te mantendría a salvo.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


Una de las primeras cosas en las que debes fijarte es en la URL que aparece en la barra de direcciones. En su desidia, muchos ciberdelincuentes ni se molestan en alterar el dominio original de la página web, el cual nada tiene que ver con el dominio de la página que supuestamente estás visitando.

Tal y como sucedía antes, los ciberdelincuentes más diligentes se habrán tomado la molestia de ocultar el dominio real y lo habrán suplantado por uno más parecido o igual que el del servicio legítimo. De hecho, es posible que incluso muestren el característico candado verde que indica que la web es segura.

Que esta artimaña no te lleve a engaño, ese candado solo indica que la comunicación está cifrada, por lo que te robarán los datos enviándolos a sus servidores mediante una comunicación cifrada, por eso no significa que la página web sea legítima o fiable.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


Un buen método para descubrir si es una web legítima es visualizar la información del certificado para ver a quién se le ha expedido. Basta con hacer clic sobre ese candado y sobre la opción Certificado para comprobar si realmente se le ha concedido a la compañía que dice ser. Desconfía si en este certificado o en el nombre de dominio de la URL aparece el nombre de la empresa con pequeñas variaciones como appleid.apple.com o signpaypal.paypal.com.

Demasiados datos para ser real

Si llegados a este punto todavía no te han saltado todas las alarmas antiphishing, todavía queda la última barrera de defensa: el sentido común.

Te encuentras en una página web alojada en un servidor que no se corresponde a los habituales de la compañía, a la que has accedido desde el enlace que incluía y que te pide una serie de datos de acceso. ¿Qué podría salir mal?

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos


En este punto, lo más fácil es que simplemente te pidan los datos de usuario y contraseña para, supuestamente, acceder al servicio. Datos que es más que probable que te roben.

Sin embargo, una nueva tendencia de phishing ofrece la posibilidad de acceder usando tu cuenta de Facebook o Gmail mostrándote la habitual ventana emergente en la que debes insertar los datos de acceso de tu cuenta en la red social o en el servicio seleccionado. Obviamente, esta no es más que otra treta para intentar engañar al usuario y robarle también las credenciales de Facebook.

En este caso es relativamente sencillo identificar el engaño dado que la ventana que aparece no es una nueva del navegador como aparecería si el sistema de identificación mediante Facebook fuera auténtico, sino que es un bloque de código insertado en la propia página emulando esta ventana. Por lo tanto, si intentas arrastrar este cuadro fuera de los límites del navegador, será imposible. Algo que sí podrías con una instancia de Facebook legítima.

Facebook


Además de este engaño, la supuesta página de phishing te pedirá un gran número de datos en el formulario que serviría para solucionar el hipotético problema que anunciaba en el correo electrónico que te han enviado. Muchos más de los que, teóricamente, podría necesitar un servicio como Netflix, PayPal o tu servicio de mensajería habitual.

En los casos más extremos, se han detectado formularios en estas páginas fraudulentas en los que incluso se pide al usuario que adjunte un selfie junto a su tarjeta de crédito o junto a su carnet de identidad o pasaporte. El objetivo tras la recolección de tal cantidad de datos no es solo robar las credenciales del usuario, sino que ya busca suplantar su identidad para solicitar préstamos o servicios bancarios a tu nombre.

Estos son solo algunos trucos con los que puedes evitar el phishing, pero existen muchas otras modalidades contra las que no es tan sencillo luchar. Por eso es tan recomendable utilizar una solución de seguridad antiphishing como los que ofrece ESET que proteja tus datos privados desde el primer indicio de fraude.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Branded, ESET