Es conocido que el phishing es un tipo de ciberataque en el que los estafadores online intentan engañar a sus objetivos (cualquiera de nosotros) para que revelen información confidencial, como contraseñas, números de cuenta, PIN de tarjetas de crédito o débito y datos personales en general. La modalidad más habitual es que los ciberdelincuentes se hagan pasar por empresas de telefonía, logística, de mensajería, bancos y hasta de venta de productos.
Puedes comprobar la última modalidad usada por los ciberdelincuentes para engañar a los dueños de farmacias, haciéndose pasar por empresas de venta de productos sanitarios (inventada) en el siguiente enlace https://cadenaser.com/castillayleon/2023/12/07/cuatro-investigados-tras-estafar-a-una-farmacia-del-norte-de-palencia-mediante-phishing-radio-palencia/
"La modalidad más habitual es que los ciberdelincuentes se hagan pasar por empresas de telefonía, logística, de mensajería, bancos y hasta de venta de productos."
Cómo funciona este tipo de phishing.
Tomando como ejemplo el último caso (venta de productos) podemos afirmar que los estafadores que se hacen pasar por empresas suelen enviar correos electrónicos o mensajes de texto que parecen ser auténticos (y no lo son). En ellos informan de un supuesto problema con la cuenta (si su objetivo tiene ya una relación comercial) o de descuentos, cupones y ofertas (si no había relación previa). La finalidad de los ciberdelincuentes es siempre la misma: que proporcionemos información confidencial, que luego usarán para quedarse con nuestro dinero o para utilizar otras técnicas, como el llamado “man in the middle”.
Ejemplos de este tipo de estafa informática.
Correos electrónicos o SMS de empresas de venta de productos que afirman que la cuenta ha sido bloqueada por motivos de seguridad. Este tipo de correos nos puede pedir que hagamos click en un enlace para desbloquear la cuenta, probar que somos nosotros, etc. Lo más habitual es que si pulsamos en el enlace, nos manden a un sitio web falso (clonado) que se hace pasar por el sitio web de la empresa de venta de productos. En este sitio web, los ciberdelincuentes nos pedirán que iniciemos sesión, la contraseña o cualquier otra información confidencial o bien directamente que hagamos un pago (a ellos creyendo que es a la empresa verdadera). Ni que decir tiene que nunca recibiremos los productos encargados… porque nunca han existido.
Correos electrónicos o SMS de empresas de venta de productos con ofertas, descuentos, cupones, etc. En este caso con el reclamo del descuento o la oferta nos dirigirán a un sitio web falso que también controlan los ciberdelincuentes. El resto de la historia es exactamente igual que en la anterior… acabaremos haciendo un pago por productos que no existen.
En los dos casos podemos recibir hasta llamadas de los estafadores online haciéndose pasar por el servicio de atención al cliente. Debemos tener mucho cuidado con los inicios de sesión o si nos piden confirmar datos (aunque ya tengan algunos y nos los digan para ganarse nuestra confianza).
Cómo protegernos de esta modalidad de fraude.
Para protegernos de este tipo de phishing podemos aplicar estos sencillos consejos:
Ser escéptico ante los correos electrónicos o SMS que tengan “ofertas demasiado buenas para ser verdad”, cupones, descuentos, etc. Es mejor confirmar la oferta (y condiciones) por teléfono y a través de los medios de contacto publicados en internet que siguiendo los enlaces que nos manden.
Desconfiar siempre que nos soliciten información personal sea o no confidencial. Si no estamos seguros de si un correo electrónico o mensaje de texto es legítimo es mejor no pulsar ningún enlace ni dar ninguna información (ni siquiera confirmar la que los ciberdelincuentes nos den porque ya la tengan de fuentes abiertas o del “scrapeo” de datos).
Revisar cuidadosamente los correos o mensajes. Estar atento a errores ortográficos o gramaticales así como a solicitudes inusuales nos puede salvar de muchos problemas.
No hacer click ni pulsar en enlaces adjuntos a correos electrónicos o mensajes de texto a menos que estemos seguros de que son legítimos. Si queremos visitar el sitio web de una empresa de venta de productos, es mejor que lo busquemos nosotros.
No descargar archivos adjuntos a correos electrónicos o mensajes de texto no solicitados. Atención porque la posibilidad de que nos instalen un malware es muy alta.
Mantener nuestras contraseñas seguras o “robustas” como se suele decir. Usar contraseñas únicas y seguras para todas nuestras cuentas es una prioridad.
Instalar software de seguridad en nuestros dispositivos. El software de seguridad nos puede ayudar a proteger ordenadores y teléfonos de muchos ataques de phishing (al menos los más simples).
Mantener actualizado el sistema operativo y las aplicaciones. Atención a esas aplicaciones que nunca usamos… si no están actualizadas pueden ser una puerta de entrada para los estafadores online.
Finalmente, si creemos que hemos sido objetivo de este tipo phising es importante tomar medidas para proteger la información cuanto antes. Cambiar nuestras contraseñas de inmediato y comunicar lo sucedido al banco y a la compañía de tarjetas de crédito/débito para informar del ataque es fundamental.
