El phishing es una técnica muy utilizada por los ciberdelincuentes para sustraer los datos privados de acceso de los usuarios. Estos datos de acceso, suelen ser principalmente de bancos o plataformas financieras donde se pueden realizar transacciones económicas (sustraer dinero), pero en realidad, el phishing va mucho más allá, y los ciberdelincuentes a día de hoy pueden buscar acceder a cuentas de email, cuentas de tiendas de terceros, cuentas de Amazon, etc.
Cualquier tipo de cuenta de usuario en cualquier plataforma puede ser útil para el ciberdelincuente, y por tanto, puede ser sensible de ser sustraída. Por eso, si queremos evitarnos problemas, debemos pensar en reforzar la seguridad y las contraseñas de nuestras cuentas.
¿Cómo detectar el phishing?
El método de envío clásico del phishing es el email, pero hoy en día también se puede recibir por muchas otras vías (SMS, WhatsApp, mensajería privada en todas las redes sociales…). Los ciberdelincuentes se las ingenian para acceder a los usuarios desde la mayor cantidad de vías posible.
Para detectar un mensaje de phishing que intenta robar nuestros datos, debemos fijarnos en varios aspectos:
- Enlaces en el email: este es el factor más importante para detectar este tipo de mensajes. Los delincuentes que nos envían phishing siempre buscan llevarnos a sitios web con interfaces clonados, y las URLs de estos sitios web nunca se corresponden con las reales. Por eso, en los mensajes de phishing, es muy común ver un enlace camuflado (en forma de palabra enlazada, utilizando un acortador de URL…) que nos redirige a la página “gancho” que intentará robar nuestros datos.
Si por ejemplo, el sitio web legítimo en el que queremos iniciar sesión es tops10.es, un dominio típico que usaría un ciberdelincuente sería tops1O.es (nótese la letra -o- en lugar del cero). Este pequeño cambio pasaría inadvertido para la mayoría de los usuarios. - Mensajes demasiado buenos o demasiado amenazantes: un mensaje phishing busca llamar nuestra atención de manera inmediata, para que, por ejemplo, entremos urgentemente a nuestra cuenta bancaria online a consultar las últimas transacciones. Por eso, este tipo de mensajes, siempre suelen hablar de recompensas (has recibido un ingreso en tu cuenta) o de malas noticias (has recibido un cargo en tu cuenta).
Siempre se debe tener claro que el email no es una vía por la que solemos recibir notificaciones importantes para no caer en este tipo de estafa. - Mala ortografía y gramática: muchos mensajes de phishing son creados originalmente en inglés y traducidos a otros idiomas utilizando traductores automáticos. Esto hace que los mensajes contengan habitualmente errores gramaticales u ortográficos cuando recibimos un mensaje de phishing.
¿Cómo evitar el phishing?
La mejor y más efectiva forma de evitar el phishing es nunca introducir nuestros datos de acceso en ningún enlace que hayamos recibido mediante mensajería privada. Para eso, tenemos que tener muy claro qué es el phishing y fijarnos en los detalles mencionados anteriormente.
Adquirir la costumbre de revisar la URL completa de los sitios web que visitamos (presente en la barra superior del navegador) es una gran ayuda para combatir el phishing. Todos los mensajes de phishing utilizan URLs alternativas, como URLs de sitios hackeados o dominios con nombres similares (pero nunca iguales) a los del sitio web legítimo.
Utilizar un gestor de correo como Gmail de Google, puede bloquear automáticamente montones de emails phishing gracias a sus potentes filtros anti spam y anti malware.