• Los ataques de phishing actúan disfrazados de correos electrónicos o mensajes de texto confiables. En El Diario conversamos con una abogada especialista en seguridad digital sobre cómo actuar para prevenir ser víctima de un fraude en Internet. Foto: Ideas TED

Delincuentes en el ámbito informático aprovechan la inexperiencia de los usuarios para robar sus contraseñas, información privada u obtener control sobre tarjetas y cuentas bancarias. Es una práctica conocida como phishing.

Por ejemplo, muchos mensajes de correo electrónico y sitios web falsos enlazan con logotipos reales de empresas de marcas conocidas. Por lo tanto, parecen legítimos. 

Un usuario reportó a El Diario que había recibido un correo electrónico presuntamente de Bank of America en el que se le exigía cambiar su contraseña en un lapso de 24 horas porque su seguridad había sido vulnerada.

En este caso, la dirección de correo no correspondía a la institucional del banco, el nombre de la empresa en el correo estaba mal escrito y tampoco había algún logo referencial.

Lo único que lo asociaba con el banco era el uso de colores azul y rojo, pero ¿qué pasa una vez que se presiona en el link que supuestamente va a direccionar hacia la página de este banco?

Hildamar Fernández, abogada y especialista en seguridad digital, explicó para El Diario que existen distintas formas en las que se puede presentar este ataque.

Uno de los formatos más básicos es el del correo que te solicita el ingreso a un sitio web porque alguien intentó acceder de manera sospechosa a tu cuenta, por lo que sugiere que verifiques ciertos datos como número de tarjeta, clave, cédula de identidad, entre otros.

blank
El phishing es un vector de ataque digital para vulnerar la seguridad de nuestros sistemas. Ellos lo que hacen es captar tu información, es decir, que cuando estas digitando tu contraseña. Una vez que hacen eso, pueden tener acceso a tus cuentas bancarias o a tu correo porque usualmente las personas tienen sus cuentas asociadas a ellos. De hecho, se apropian de tu información para utilizarla en beneficio propio”, explicó Hernández.

También aclara que las personas que crean estos enlaces engañosos de suplantación de identidad son tan sofisticadas que muchas veces es difícil saber identificar el phishing. Enfatiza que siempre es mejor escribir la dirección web correcta de cada página en el navegador.

La abogada también señaló que el banco emisor nunca debe hacer una solicitud de cambio de datos personales a través de un correo electrónico y mucho menos mediante una plataforma de mensajería instantánea o red social. 

“Las instituciones bancarias, por política interna, nunca pueden pedir un cambio de contraseña mediante un correo electrónico porque esto iría en contra de todos los estándares de seguridad. Tampoco es recomendable presionar de inmediato ningún link que te redireccione en algún correo porque primero se debe verificar la procedencia del mismo sobre el nombre. En este punto hay que verificar que corresponda completamente a la entidad bancaria o empresa que estaría enviando la información. No se debe aportar datos bancarios a través de correos electrónicos, ni ningún tipo de mensaje de datos”, añadió la abogada penal. 

Estafa

Plataformas donde es común el phishing

  • Correo electrónico: es el habitual medio para este tipo de ataques, porque estamos acostumbrados a recibir notificaciones de nuestras redes sociales, empresas y cuentas bancarias.
  • Redes sociales: En Venezuela, existen cuentas creadas en las cuales se promete algún servicio, producto o un beneficio a cambio de ingresar a una página mediante un link. 
  • SMS: la víctima puede recibir un mensaje de texto de alguien haciéndose pasar por una entidad de confianza y así solicitar datos.
  • Llamadas telefónicas: la víctima recibe una llamada de un operador telefónico quien con mucha simpatía le solicita datos para aprobar tarjetas de crédito, nuevos planes telefónicos o una oferta que ganó. 

Qué hacer en caso de sospecha de un correo o un mensaje:

La especialista en seguridad digital explicó algunos pasos que se deben seguir en caso de haber recibido un mensaje de algún cibercriminal. El primero es no hacer clic en ningún enlace que tenga la página.

Menciona que existen phishing ocultos, por lo que se recomienda ingresar directamente a la página de la empresa.

En el caso de Bank Of America, puede comunicarse con el departamento de Quejas de la Comisión Federal del Comercio (puede escribir a abuse@bankofamerica.com), o llamar a su línea de atención al cliente. 

Algunos datos para identificar un posible mensaje fraudulento:

  • No incluye el nombre oficial de la compañía, está mal escrito o está escrito de forma corrida.
  • Tiene un archivo adjunto, en el caso de las empresas son casos poco comunes.
  • Contiene errores ortográficos o selección de palabras extrañas.
  • Le piden que verifique su información de manera inmediata porque de lo contrario su cuenta será bloqueada.
  • Le piden que no llame a la institución.
  • El URL del sitio está alterado.
  • El correo no dispone del logo.

¿Qué hacer si eres víctima de phishing?

Hernández precisó que en Venezuela existe el Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (Cicpc), que cuenta con una unidad especializada en delitos informáticos.

“Una persona puede acudir a la sede de este organismo para formular una denuncia. En el caso de instituciones de bancos extranjeros, cada entidad tiene una línea donde se pueden reportar este tipo de irregularidades. Lo ideal es comunicarse de inmediato con el banco emisor una vez que tenga conocimiento de que su seguridad ha sido vulnerada”, afirmó Hernández. 

La Ley Especial Contra los Delitos Informáticos surgió en 2001 por la necesidad de controlar los ilícitos relacionados con las tecnologías de información o medios digitales que se quedaban fuera del contexto, cuenta la abogada.

Las otras plataformas 

El informe de Check Point publicado en el año 2019 reveló que la mayoría de ataques de phishing en teléfonos móviles son perpetrados a través de aplicaciones tan populares como WhatsApp, Facebook o PayPal.

En este documento citan que Microsoft halló en su estudio de ciberseguridad que 0,7% de los correos electrónicos analizados contenían phishing.

Aunque esta cifra pueda parecer pequeña, en realidad significa que aproximadamente uno de cada 150 correos analizados fue un intento de conseguir acceso ilegal a datos. Además, 30% de los mensajes de phishing son abiertos por usuarios específicos y esta modalidad representa el 90% de las violaciones de datos.

Phishing
Foto cortesía

Por ello, en tiempos de pandemia, se recomienda desconfiar de las ofertas especiales que se puedan recibir a través de correo electrónico. Si la vacuna contra el covid-19 se encuentra lista, no la ofrecerán por esta vía, en ese caso se trataría de una estafa.

Es importante revisar detalladamente los dominios, los errores de ortografía en los emails o los mensajes de WhatsApp y los links en Facebook.

“El continuo aumento de los ataques de phishing, dirigidos tanto a las redes sociales como a las organizaciones financieras, nos muestra que los usuarios deben prestar más atención a sus actividades en línea. A pesar de los recientes escándalos globales, las personas continúan haciendo clic en enlaces inseguros y dan permiso a aplicaciones desconocidas para que accedan a su información personal. Debido a esta falta de vigilancia del usuario, los datos de una gran cantidad de cuentas se pierden o son usados para extorsionar a los usuarios. Esto puede conducir a ataques y un flujo constante de dinero para los ciberdelincuentes”, concluyó Hernández. 

Noticias relacionadas