Los ataques de phishing existen desde hace décadas, pero cada vez son más y más creíbles, haciendo que los usuarios se sientan cada vez más confusos sobre si están ante un mensaje o web legítimos o tienen una estafa frente a sus ojos, pudiendo hacer clic en un enlace malicioso.
Esta cuestión no es baladí, y es que un momento de distracción podrías exponer tus datos personales y financieros a ciberdelincuentes, lo cual puede llegar a tener consecuencias severas.
Qué hacer si hiciste clic pero no diste tus datos
Vamos a ver el primer caso posible, en el cual haces clic en el enlace con phishing, pero no llegas a dar tus datos personales o bancarios.
Lo primero que deberás hacer es cerrar tu navegador cuanto antes para evitar cualquier actividad maliciosa que se esté ejecutando en la web de los atacantes.
Después, haz un escaneo de tu antivirus de confianza, y si no sabes cuál elegir, recientemente hablamos de los mejores antivirus para Windows a día de hoy.
Por otro lado, cambia las contraseñas de tus cuentas más relevantes que pudieran estar comprometidas tras entrar en la web, especialmente si usas la misma contraseña en múltiples webs.
Dentro de lo negativo, no introducir tus datos para enviarlos a los ciberdelincuentes es un alivio, aunque eso no quita que sigas en riesgo. Por ello, te recomendamos seguir los pasos anteriores.
Qué hacer si hiciste clic y diste tus datos
Si desafortunadamente has dado tu información personal o financiera en un sitio de phishing, toma estos pasos rápidamente:
- Contacta a tu banco si diste los datos de tu tarjeta o cuenta bancaria para que tomen las medidas oportunas y no veas tu cuenta vaciada o comenzando a tener transacciones desconocidas.
- Al igual que en el caso anterior, cambia las contraseñas de todas tus cuentas y cámbialas por contraseñas fuertes y únicas para cada cuenta.
- Te recomendamos también contactar con las autoridades para ver posibles medidas adicionales, como una denuncia o evitar la suplantación de tu identidad.
- Para terminar, y si lo deseas, puedes contactar con la empresa legítima a la que han suplantado para que esta pueda notificar a sus usuarios del fraude, y así evitar que otros caigan.
Indicios de que un mensaje o una web son phishing
Es importante que sepas identificar estas estafas por si te las encuentras en alguna ocasión. Por ello, a continuación te dejamos los síntomas inequívocos de estos fraudes digitales:
URLs sospechosas
Las direcciones web con phishing suelen tener pequeñas variaciones de las URLs auténticas. Por ejemplo, "amaz0n.com" en lugar de "amazon.com". Sin embargo, y aunque las grandes compañías tratan de adueñarse de tantos dominios similares como pueden para evitar estas estafas, es obvio que no pueden abarcar todo.
Por otro lado, es posible que hayas sabido diferenciar el 0 de la o en el ejemplo anterior, pero los ciberdelincuentes usan tácticas algo mejores para crear URLs falsas. Para ello, suelen hacer uso de los llamados caracteres homográficos, que son los que pertenecen a otro alfabeto pero tienen un aspecto muy similar al de letras del alfabeto latino.
Generalmente, estos caracteres suelen provenir del alfabeto cirílico. Algunos ejemplos de estos caracteres son varias de las vocales latinas, como la a, la e o la o. ¿Podrías diferenciar ebаy.com de ebay.com? El primero de ellos es el enlace falso.
Es posible que ahora pienses que no te va a ser posible nunca reconocer algo así, y tienes toda la razón. Por ello, te recomendamos que si quieres ir a una web en concreto, la escribas tú mismo en la barra de direcciones.
Errores gramaticales y ortográficos
Si los ciberdelincuentes son extranjeros, es posible que tengan errores que son impensables en una comunicación oficial, como faltas de ortografía, erratas, palabras mal ordenadas o primeras palabras que no comienzan por mayúscula.
Este síntoma es más obvio y, por tanto, más fácil de detectar, aunque no hay que bajar la guardia por ver un texto bien redactado, ya que los ciberdelincuentes pueden ser nativos de nuestro país o ser extranjeros pero usar traductores con IA para dar un tono más natural al texto.
Solicitudes urgentes de información
Este síntoma es típico de estos mensajes. Ya sea una multa falsa, un paquete no entregado que no existe o una sanción económica del banco que jamás ha ocurrido, lo que hay detrás de todos los casos es urgencia, dando a entender al usuario que si no pincha el enlace habrá consecuencias negativas para él.
Aunque algunas entidades oficiales pueden solicitar datos a los usuarios de manera verídica, la mejor forma de saberlo sin pinchar el enlace es escribir nosotros la URL del organismo en cuestión en nuestra barra de direcciones, iniciar sesión y ver si realmente lo que dice el mensaje es lo que se nos notifica a nosotros en nuestra cuenta. En caso de ser necesario, se puede hacer una llamada para confirmar.
Direcciones de correo inusuales
Al igual que en el caso de las direcciones web, los ciberdelincuentes tratan de hacer creer a los usuarios que reciben correos electrónicos de entidades oficiales, y para ello emplean diversas tácticas.
Una de las estrategias más frecuentes es el uso de caracteres similares, como ya vimos anteriormente. Un ejemplo podría ser el uso de "support@amaz0n.com" en lugar de "support@amazon.com".
Otra táctica común es agregar prefijos o sufijos a la dirección de correo electrónico, como "secure", "verify", "help" o "service", las cuales tratan de dar una falsa sensación de seguridad y autenticidad.
Archivos adjuntos sospechosos
No es raro ver correos electrónicos en los que, además de un enlace malicioso, hay un archivo adjunto malicioso. Suelen tener la apariencia de documentos legítimos, como facturas, recibos, formularios de pedido, informes, etc.
Sin embargo, al abrir estos archivos, los usuarios pueden instalar malware en sus dispositivos sin darse cuenta, lo que permite a los atacantes control sobre el sistema y sus datos.
Con estos consejos y datos deberías tener una buena noción de qué hacer en caso de hacer clic en un enlace de phishing, o directamente cómo evitarlos para esquivar males mayores.
Llamadas del banco por cargos no reconocidos: el último fraude para robar a los más débiles
- Ver Comentarios