Yahoo Finanzas Lo que puedes hacer para evitar el 'phishing' y mantener a raya a los estafadores online
La semana pasada esperaba una mercancía que compré por internet, pero no llegaba. Estaba pendiente de cualquier notificación en mi móvil y mi correo electrónico porque sospechaba que había ocurrido algún contratiempo con el envío.
Hasta que recibí un mensaje a mi cuenta personal de email con el logo de Correos, la empresa pública de correspondencias de España, para informar que el pedido había llegado pero que debía pagar 4,95€ ($5,77) por gastos de transporte.
Más abajo, explicaba que el paquete estaba “esperando en un centro de distribución sin dirección”.
El correo tenía dos enlaces. El primero resaltaba porque estaba al principio del mensaje, junto al supuesto número de seguimiento del paquete, y el segundo se encontraba al final, en un botón que invitaba a iniciar un chat para organizar una nueva entrega.
Reconozco que seguí el primer enlace y me llevó un chat bot que me explicaba que el paquete no pudo ser entregado porque la etiqueta estaba parcialmente deteriorada y se había borrado la dirección del envío. Y para que no hubiese dudas me mostraban una foto del paquete supuestamente retenido.
Leí velozmente las frases y procedí a responder un cuestionario en el que me preguntaban mi nombre completo, mi número de identificación, dirección física completa, números de telefonía fija y móvil. Ya al final me preguntaban por un número de tarjeta de crédito para cancelar el monto adeudado por el problema de etiquetado.
Me levanté del escritorio y busqué mi billetera para pagar. Pero justo un segundo antes de procesar la transacción me di cuenta de que algo no andaba bien. Me pregunté cómo llegó a Correos un paquete de una empresa que utiliza un sistema privado de envíos. O por qué si Correo tiene todos mis datos personales pudo conseguir mis datos de correo electrónico, pero no consiguió la dirección física para completar la entrega.
📢RECUERDA:
⚠Tu #banco nunca te avisará de un problema en tu cuenta a través de #sms o #email
❌Y mucho menos te solicitará las claves
Si recibes un 📩 así👉 es #phishing pic.twitter.com/NWkXDt20KR— Policía Nacional (@policia) October 18, 2021
Entonces las dudas se desvanecieron. En milésimas de segundos me di cuenta de que estaba a un clic de una estafa y que me había salvado porque en mi ordenador no tengo registradas las tarjetas de crédito.
Me respondí a mi misma que una oficina de Correos española jamás enviaría un email con una dirección inglesa compuesta con larga seguidilla de letras y números.
También caí en cuenta que las veces que he tenido un paquete en el centro de distribución cercano, he recibido una notificación física de Correos en el buzón de casa. En otras ocasiones, la cartera ha llamado a mi timbre para informarme personalmente que acuda a la oficina postal más cercana y he tenido que firmar un recibo que certifica que he recibido una notificación.
Y Correos no usa un chatbot para pedir dinero antes de entregarte una correspondencia.
Una banda suplanta la identidad de Correos
Para mi fortuna espabilé a tiempo y mis sospechas sobre el mensaje fraudulento resultaron ser ciertas.
El Instituto Nacional de Ciberseguridad (Incibe) alertó ese mismo jueves 14 de octubre sobre la existencia de una nueva campaña criminal para suplantar la identidad de Correos, exactamente igual a la que intentó embaucarme.
La técnica que usaron los delincuentes al intentar estafarme se llama phishing y se trata de enviar un mensaje de email suplantando a una entidad legítima. En mi caso, la banda intentó hacerse pasar por la compañía Correos. Incibe explica que los mensajes suelen ser de carácter urgente o atractivo, para evitar que las personas usen su sentido común y se lo piensen dos veces antes de actuar.
👀Al #Phishing recibido: mail impronunciable que te invita a que un #bot te ayude en una nueva entrega. Lo único “verdadero” es el logo de @Correos, espero que nadie caiga en la trampa!☹️cc @GDTGuardiaCivil @policia @mossos @INCIBE @CarloSeisdedos @onBRANDING pic.twitter.com/64XIz3kJ3a
— Jaume Mañà Casals (@jaumemanacasals) October 5, 2021
El título del correo que me enviaron era “#Tu-paquete-ha_llegado!#” y cómo yo estaba esperando una correspondencia importante caí en el primer anzuelo sin parpadear.
Pero como espabilé antes de hundirme en el lodo y dar en bandeja de plata los datos de mi tarjeta de crédito, los email siguieron llegando, exigiendo el pago inmediato de los 4,95€m hasta que bloqueé la dirección y denuncié la cuenta. Pero los estafadores no se dieron por vencidos. Al no poder contactarme por correo pasaron al Smishing, que es el mismo tipo de estafa, pero te abordan desde los SMS.
El mensaje de texto fue enviado por un remitente de nombre Sara, pero con un número privado que no podía visualizar desde mi móvil. La comunicación era más imperativa y decía que tenía un paquete retenido a mi nombre desde el 10 de octubre, en la ciudad donde vivo, por falta de pago.
El final feliz del cuento es que mi paquete llegó y los estafadores informáticos se quedaron esperando.
Pero me quedó el sinsabor de estar en la mira de la delincuencia organizada. Pedro Pacheco, comisario jefe de la Unidad Central de Ciberdelincuencia de la Policía Nacional, dijo al diario El Mundo que “el fraude supone ya entre un 85% y un 90% de los ciberdelitos conocidos".
¿Qué puedes hacer para protegerte?
Incibe explica que el objetivo de los ciberdelincuentes con el phishing es obtener datos personales y bancarios de los usuarios, al hacerse pasar por una institución de nuestra confianza. Además del robo de datos, también usan esta técnica para que descarguemos malware para infectar y tomar control de nuestro móvil, tableta u ordenador.
Las pautas generales para evitar ser víctima de un phishing son:
El principal consejo es ser precavido y leer los mensaje detenidamente, especialmente si se trata de entidades con peticiones urgentes, promociones y gangas demasiado atractivas.
No abrir correos de usuarios desconocidos o que no hayas solicitado: hay que eliminarlos directamente.
Detectar errores gramaticales en el mensaje. Y, si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude.
Revisar que el enlace coincide con la dirección a la que apunta. Y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar.
Comprobar el remitente del mensaje, o asegurarnos de que se trata de un teléfono legítimo.
En caso de que el correo proceda de una entidad legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
No descargar ningún archivo adjunto y analizarlo previamente con el antivirus. En caso de vishing, no debemos descargar ningún archivo que nos haya solicitado el atacante, ni ceder el control de nuestro equipo por medio de algún software de control remoto.
Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
Historias que también te podrían interesar:
(Vídeo) Protección de datos personales: Trucos para mejorar tu seguridad en internet
