El phishing es un ataque que intenta robar nuestro dinero o identidad, haciendo que se divulgue información personal (como números de tarjeta de crédito, información bancaria o contraseñas) en sitios web que fingen ser sitios legítimos. Los ciberdelincuentes suelen aparentar ser empresas prestigiosas, amigos o conocidos en un mensaje falso, que contiene un vínculo o enlace que se direcciona al hacer clic, a un sitio web de phishing.

¿Cómo actúa el Phishing?

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación además: son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing – a través de llamada telefónica) o los mensajes instantáneos en redes sociales.

Además, los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

Formas de detectar Phishing

Llamada urgente a la acción o amenazas: sospeche de los correos electrónicos que afirman que debe hacer clic, llamar o abrir un archivo adjunto de inmediato. A menudo afirman que tiene que actuar ahora para reclamar una recompensa o evitar una penalización. Crear un falso sentido de urgencia es un truco común de los ataques de phishing y estafas. Lo hacen para que no piense en ello demasiado ni consulte con un asesor de confianza que pueda advertirle del riesgo.

Sugerencia: Cuando vea un mensaje que exige una acción inmediata, espere un momento y revíselo con cuidado. ¿Seguro que es real? Pause y protéjase.

Remitentes de primera vez o poco frecuentes: aunque no es inusual recibir un correo electrónico de alguien por primera vez, especialmente si están fuera de su organización, esto puede ser un signo de suplantación de identidad (phishing). Cuando reciba un correo electrónico de alguien que no reconoce o que Outlook identifica como un nuevo remitente, examine el correo electrónico con sumo cuidado antes de continuar.

Mala ortografía y redacción: Las organizaciones o empresas profesionales suelen tener un equipo editorial para garantizar que los clientes reciban contenido profesional de alta calidad. Si un mensaje de correo electrónico tiene errores ortográficos o gramaticales obvios, es posible que se trate de una estafa. Estos errores a veces son el resultado de una traducción incorrecta de otro idioma. A veces es deliberado, en un intento de sortear filtros que intentan bloquear estos ataques.

Saludos genéricos: una organización que trabaja con usted debe conocer su nombre y, hoy en día, es fácil personalizar un correo electrónico. Si el correo electrónico empieza con un mensaje genérico, como "Estimado señor o señora", es un signo de que puede que no sea realmente su banco o sitio de compras.

Vínculos sospechosos o datos adjuntos inesperados: si sospecha que un mensaje de correo electrónico es un fraude, no abra los vínculos o datos adjuntos que vea. En su lugar, pase el mouse sobre el vínculo, pero no haga clic en él, para ver si la dirección coincide con el vínculo escrito en el mensaje. En el ejemplo siguiente, al situar el mouse sobre el vínculo, la dirección web real se muestra en el cuadro con el fondo amarillo. Tenga en cuenta que la cadena de números de la dirección IP no se parece en nada a la dirección web de la empresa.

Sugerencia: En Android, presione el vínculo durante mucho tiempo para obtener una página de propiedades que revelará el verdadero destino del vínculo. En iOS, haga lo que Apple denomina "Light, long-press".

Dominios de correo electrónico que no coinciden: si el correo electrónico dice ser de una empresa acreditada, como Microsoft, pero el correo se envía desde otro dominio de correo electrónico como Yahoo.com o microsoftsupport.ru, probablemente es una estafa. También esté atento a los errores ortográficos muy sutiles del nombre del dominio legítimo. Como micros0ft.com donde la segunda "o" se ha reemplazado por un 0 o rnicrosoft.com, donde la "m" se ha reemplazado por una "r" y una "n". Son trucos comunes de estafadores. 

Los ciberdelincuentes también pueden convencerle de visitar sitios web falsos con otros métodos, como mensajes de texto o llamadas telefónicas. Los ciberdelincuentes más sofisticados configuran centralitas para llamar o enviar mensajes automáticamente a números de potenciales objetivos. Estos mensajes suelen incluir indicaciones para que escriba un número PIN u otro tipo de información personal.

¿Cómo protegerse contra el Phishing?

Después de leer el correo no haga clic en ningún enlace. Realice las verificaciones pertinentes en su espacio personal de cliente, acudiendo directamente desde la Url del navegador.

Mejore la seguridad de su ordenador. El sentido común y el buen juicio son tan vitales como mantener su equipo protegido, además, siempre debe tener las actualizaciones más recientes de su sistema operativo y navegador web.

Además, lo ideal es que cuente con una capa adicional con un antivirus profesional.

Introduzca sus datos confidenciales sólo en sitios web seguros. Para que un sitio se pueda considerar como ‘seguro’, el primer paso -aunque no el único- es que empiece por "https://", lo que implica que sigue el protocolo de transferencia de hipertexto y que el navegador muestre el icono de un candado cerrado.

Revise periódicamente sus cuentas. Nunca está de más revisar facturas y cuentas bancarias cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones.

Ante cualquier duda, no se arriesgue. El mejor consejo ante el phishing es siempre fomentar la prudencia entre todas las personas que forman parte de la organización. Asegurar la autenticidad del contenido ante la más mínima sospecha es la mejor política.

Protocolo de seguridad para evitar la suplantación de identidad – ARCOTEL

Los casos de suplantación de identidad en la prestación de servicios de telecomunicaciones pueden ser presentados ante la Arcotel, pudiendo acudir también a la Defensoría del Pueblo; sin embargo, debido a las implicaciones penales que estos casos conllevan, las personas afectadas deberán acudir también a la Fiscalía General del Estado a presentar la denuncia respectiva.

El Centro de Respuesta a Incidentes informáticos de Arcotel (EcuCERT), recomienda tomar en cuenta algunas medidas:

Procurar no dejar copias de la cédula de identidad o cualquier otro documento de identidad o transaccional, desatendidas o en manos de extraños.

Informarse sobre lo que significa la suplantación de identidad mediante phishing y otras técnicas de robo de datos en medios digitales.

Configurar la privacidad y seguridad de nuestros perfiles en: bancos, tarjetas de crédito, plataformas de compra en línea, redes sociales y en toda plataforma digital de las que actualmente se están utilizando.

Usar contraseñas fuertes, que contengan una longitud mayor a 10 dígitos, que incluyan números, mayúsculas, caracteres y que no contengan datos relacionados con cumpleaños, nombres de familiares o datos de fácil identificación por el atacante.

Renovar las contraseñas cada cierto tiempo y en lo posible usar un llavero digital, el cual nos recordará las medidas de seguridad.

No compartir fotos o vídeos comprometidos, mucho menos con desconocidos, peor aún si hay algún tipo de exigencia por parte del destinatario.

Revisar la política de privacidad, seguridad y las condiciones del servicio al que queremos acceder, como: bancario, compra en línea, red social, gobierno en línea.

Asegurarnos que el sitio donde realizamos transacciones y compras por Internet es seguro (la dirección debe empezar por https:// y tener un candado cerrado en la barra del navegador).

No dejar el teléfono móvil, tableta, computador portátil, desatendido en lugares públicos.

No conectarse a Wi-Fi de dudosa reputación y, sobre todo, no realizar transacciones ni ingreso a sitios que requieran identificación con claves de acceso en Wi-Fi públicas o que no sean de total confianza.

No publicar datos de forma abierta, principalmente en redes sociales.

Usar el doble factor de autenticación en todas las plataformas que lo permitan, por ejemplo, una contraseña más un mensaje de texto.

Según EcuCERT la suplantación de identidad puede ocasionar problemas de credibilidad, afectar a la reputación y provocar pérdidas económicas.

Fuentes:

https://support.microsoft.com/es-es/windows/prot%C3%A9jase-del-phishing-0c7ea947-ba98-3bd9-7184-430e1f860a44

https://www.pandasecurity.com/es/security-info/phishing/

https://support.microsoft.com/es-es/topic/qu%C3%A9-es-autenticaci%C3%B3n-multifactor-e5e39437-121c-be60-d123-eda06bddf661

https://www.arcotel.gob.ec/protocolo-de-seguridad-para-evitar-la-suplantacion-de-identidad/#:~:text=Para%20suplantar%20la%20identidad%20los,utilizarlos%20en%20su%20propio%20beneficio.&text=Informarse%20sobre%20lo%20que%20significa,de%20datos%20en%20medios%20digitales.