Cuidado con el "phishing"

¿Qué es el phishing?

El phishing es una técnica de captación ilícita de datos personales (principalmente relacionados con claves para el acceso a servicios bancarios y financieros) a través de correos electrónicos o páginas web que imitan/copian la imagen o apariencia de una entidad bancaria/financiera (o cualquier otro tipo de empresa de reconocido prestigio).



¿Cómo funciona el phishing?

La técnica del phishing utiliza el correo electrónico para ponerse en contacto con los usuarios, utilizando mensajes que imitan, casi a la perfección, el formato, lenguaje y la imagen de las entidades bancarias/financieras, y que siempre incluyen una petición final en la solicita a los usuarios la “confirmación” de determinados datos personales alegando distintos motivos: problemas técnicos, cambio de política de seguridad, posible fraude, etc...

Estos mensajes de correo electrónico siempre incluyen enlaces que conducen “aparentemente” a las páginas web oficiales de las citadas entidades pero que, en realidad, remiten a “páginas web piratas” que imitan o copian casi a la perfección la página web de la entidad financiera, siendo su finalidad principal captar datos de los usuarios.

Dada la confianza que los usuarios tienen depositada en las entidades de las que son clientes, y por desconocimiento o simplemente ante la incertidumbre y temor creados, acceden a dichas páginas web piratas, donde el defraudador o delincuente informático, obtiene los datos personales o claves de acceso personales.

Es a partir de este momento donde empieza el fraude: utilización del número de tarjeta y fecha de caducidad para compras por Internet (comercio electrónico), realización de transferencias bancarias no consentidas ni autorizadas, retirada de efectivo en cajeros con duplicados de las tarjetas, etc....

Aspectos que debes tener en cuenta para evitar el phishing:

1.- Sospecha de cualquier correo electrónico con solicitudes urgentes de información personal, que utilice argumentos como problemas de carácter técnico, detecciones de posibles fraudes, cambio de política de seguridad, promoción de nuevos productos y/o servicios, etc...

Además, este tipo de correos suele incorporar advertencias tales como: “si no realiza la confirmación/cambio solicitada, en el transcurso de --- horas/días se procederá al bloqueo/cancelación, de su cuenta bancaria/cuenta de cliente, etc...”; de forma que se fuerza una respuesta casi inmediata del usuario.

Dado que el phishing es una técnica de envío masivo de correos electrónicos a múltiples usuarios, es posible que recibas correos electrónicos de entidades o empresas de las que no eres cliente, y en los que se solicita igualmente dichos datos. En estos casos, directamente, descártalos.

2.- Sospecha de los correos electrónicos que te soliciten información como: nombre de usuario, password o clave de acceso, número de tarjeta de crédito, fecha de caducidad, número de la seguridad social, etc...

3.- Los mensajes de correo electrónico de phishing no suelen estar personalizados, mientras que los mensajes de las entidades de las que somos clientes suelen estar personalizados.

4.- Evita rellenar formularios en correos electrónicos que le soliciten información financiera personal.

5.- No utilices los enlaces incluidos en los correos electrónicos que conducen “aparentemente” a las entidades, especialmente si sospechas que el mensaje podría no ser auténtico. Diríjete directamente, a través de tu navegador, a la página web de la entidad o empresa.

6.- Antes de facilitar cualquier dato sensible (datos bancarios, números de tarjetas de crédito, número de la seguridad social, etc...) asegúrate de que se encuentra en una web segura.

Las páginas web que utilizan protocolos de seguridad, que impiden la captación de datos por parte de terceros no autorizados, se caracterizan porque la dirección web que aparece en la barra de navegación comienza con el protocolo “https” y en la parte inferior de la página aparece un candado.

Igualmente podemos comprobar la veracidad del protocolo de seguridad; para ello, podemos clickear dos veces en el candado de la parte inferior de la página, y nos aparecerá una ventana en la que se identifica a la compañía de certificación y al titular del protocolo, así como su validez.

7.- Asegúrate de tener el navegador web actualizado y con los últimos parches de seguridad instalados.

9.- Por último, comprueba regularmente tus cuentas bancarias para asegurarte que todos los movimientos o transacciones son legítimos. En caso de detectar algo sospechoso, no dudes en ponerse en contacto con tu entidad bancaria.

¿Qué se puede hacer si se detecta el phishing o hemos sido defraudados a través de esta técnica?

En ambos casos, la mejor solución es denunciarlo directamente a la entidad bancaria de la que eres cliente, así como a la policía (principalmente a la Brigada de Investigación Tecnológica (B.I.T)).