Los españoles caen entre los más afectados por el nuevo phishing
España es el octavo país del mundo con más afectados por el robo de datos financieros y personales. La estafa salta del email a las apps
Cuatro bancos españoles o, mejor dicho, sus clientes, han sido víctimas de ataques de phishing (el robo de datos personales comprometidos a través de la suplantación de marcas). El Observatorio de Seguridad del Internauta ha detectado campañas fraudulentas contra Bankia, BBVA, Caja Rural e ING. Tampoco han escapado de los ataques compañías como Paypal, Endesa, Netflix o, incluso, Correos.
De acuerdo con un informe elaborado por Kaspersky Lab, en 2018 el 21,7% de los ataques tuvieron como objetivo los bancos. España es el octavo país del mundo con más usuarios afectados por esta práctica, concretamente el 20% de los internautas ha sufrido ataques de phishing.
La banca informa regularmente a sus clientes sobre cómo evitarlos. Algunas entidades, incluso, añaden un pie de página en sus correos electrónicos en el que recuerdan que el banco nunca solicitará por email contraseñas o números secretos, recuerdan los expertos en finanzas personales consultados por Helpmycash. Sin embargo, los clientes bancarios aún caen en la trampa. ¿Por qué?
De acuerdo con un estudio realizado por la compañía Webroot, “casi cuatro de cada cinco trabajadores de oficina (79%) piensan que pueden distinguir un mensaje de phishing de uno real”. Sin embargo, parece que realmente desconocen todas las fuentes de las que pueden proceder este tipo de ataques.
Ataques de phishing cada más sofisticados
Según el estudio, en el que se han encuestado a 4.000 oficinistas de Australia, los Estados Unidos, Japón y el Reino Unido, aunque el 81% de los participantes tenía conocimiento de que los correos electrónicos son uno de los medios usados por los atacantes para abordar a sus víctimas, solo un 60% sabía que también lo son las redes sociales.
La cifra se reducía en el caso de los mensajes de texto (59%), llamadas telefónicas (43%), notificaciones de apps (40%), correo postal (34%) o chats (22%).
“Estamos más acostumbrados a sufrir ataques de phishing por email, por lo que tenemos más capacidades para detectar los correos fraudulentos”, añaden fuentes de Helpmycash. Además, muchas campañas de prevención se enfocan sobre este medio.
El problema es que los ataques son cada vez más sofisticados y pueden aparecer por cualquier vía, como los mensajes de texto o las redes sociales.
La mayoría de los ataques de phishing, especialmente los que están relacionados con los bancos, funcionan igual. La víctima recibe una comunicación, por ejemplo un email o un SMS, de un remitente supuestamente oficial que le invita a clicar sobre un enlace.
Dicho link apunta, aparentemente, a la página web de la compañía, aunque en realidad se trata de una copia. Una vez en la web, el objetivo es que la víctima introduzca sus datos, normalmente datos financieros, o realice algún pago. Si caemos en la trampa, lo más probable es que perdamos dinero o nos suplanten la identidad.
Lo cierto es que muchas veces el sentido común es la mejor herramienta para detectar ataques de phishing. Son muchas las señales a las que podemos prestar atención para detectar un ataque y no caer en él.
Protegerse del phishing en tres pasos
En primer lugar, debemos verificar quién es el remitente y si la cuenta desde la que envía la comunicación es corporativa o usa un dominio gratuito, como gmail.com o hotmail.com. Si se trata de este último caso, lo más probable es que sea phishing.
En segundo lugar, debemos comprobar el tono del mensaje. Si el contenido es alarmista e inesperado y nos insta a llevar a cabo una acción, por ejemplo introducir nuestros datos bancarios en una web so pena de que nuestras cuentas queden bloqueadas, es phishing.
En tercer lugar, hay que prestar atención a la forma en la que está escrito el mensaje. Si parece una mala traducción y está repleto de errores sintácticos y ortográficos, es phishing.
No olvidemos que una comunicación oficial de una compañía reconocida como un banco estará cuidada. Asimismo, si el diseño gráfico del mensaje no se corresponde con el estándar corporativo de la empresa, debemos estar alertas.
Y lo más importante, debemos comprobar que la dirección web a la que apunta el mensaje redirige a una página web oficial y no a una que intenta suplantarla. Antes de hacer clic, podemos ubicar el cursor del ratón sobre el hipervínculo y comprobar a dónde apunta. Hay que estar atentos, porque en muchos casos la diferencia con la web original es de solo un punto o una letra.
Si llegamos a pinchar, antes de dar ningún dato personal, debemos comprobar que la web está totalmente operativa y que realmente es la original, además de verificar que cuenta con los estándares de seguridad esperados (certificado válido, protocolo seguro de transferencia de datos…).
Y no olvidemos que nuestro banco nunca nos pedirá todos nuestros datos de golpe, como, por ejemplo, todas las posiciones de una tarjeta de coordenadas.
A pesar de que uno de los métodos más sencillos para verificar un ataque de phishing es comprobar si los enlaces que acompañan a los mensajes se corresponden con el destino al que supuestamente deben dirigir, únicamente el 43% de los encuestados para elaborar el estudio de Webroot verifica que los links coincidan con su destino antes de pinchar sobre ellos.
“A pesar de que hacer clic en enlaces maliciosos es una de las principales formas en que un simple intento de phishing puede convertirse en una infección importante”, afirma el estudio.
Asimismo, solo el 52% de los encuestados verifica la gramática del mensaje, únicamente el 38% comprueba su tono y tan solo el 44% verifica la firma original del remitente.