La banca, principal objetivo del ‘phishing’: ¿cómo protegerse?

Según la compañía de ciberseguridad, nuestro país ocupa el octavo puesto del ranking mundial por volumen de usuarios atacados (el 20,05% de los internautas).

En lo que llevamos de año, la Oficina de Seguridad del Internauta (OSI) ha detectado campañas de phishing relacionadas con ING, BBVA y Caja Rural. Ni siquiera las instituciones oficiales se libran (este año se han realizado ataques contra la Agencia Tributaria y el pasado, contra la CNMV).

Pero ¿en qué consiste exactamente el phishing? Se trata de un método usado por los ciberdelincuentes con el objetivo de robar la información personal de sus víctimas, especialmente la de carácter bancario, mediante la suplantación de identidad. Los apodados como phishers suplantan la identidad de compañías reales, como los bancos, para hacer creer a las víctimas que sus peticiones son legítimas, engañarles y sustraer información como los datos de una tarjeta de crédito, el número de una cuenta corriente o las claves de acceso a la banca online. Por lo general, se bastan de los canales de mensajería para realizar sus ataques (correo electrónico, mensajes de texto, etc.), aunque ya se han detectado acciones más sofisticadas como el secuestro de routers.

La clave para no caer en este tipo de estafas es desconfiar. Nuestro banco, advierten los expertos del comparador de productos financieros HelpMyCash.com, nunca nos pedirá nuestras claves por correo electrónico ni otra información sensible como los datos de nuestras tarjetas de crédito.

¿Cómo actúan los ciberdelincuentes?

En el caso del phishing bancario, el método usado suele repetirse. Remiten un e-mail a sus víctimas haciéndose pasar por una entidad de crédito, solicitan al cliente que actualice sus datos con urgencia bajo la excusa de que si no lo hace su cuenta dejará de estar operativa o de que la normativa así lo exige y remiten al usuario a una página web que suplanta la original del banco.

La OSI recomienda ser precavidos «ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o extraños».

Asimismo, los correos electrónicos de los phishers muchas veces no respetan el diseño gráfico del resto de las comunicaciones del banco, no están enviados desde una dirección de correo electrónica corporativa, sino que se mandan desde cuentas gratuitas como las de Hotmail o Gmail, y contienen faltas de ortografía y errores gramaticales.

Antes de seguir las instrucciones de un e-mail que parezca sospechoso, debemos verificar la veracidad del correo electrónico con el supuesto remitente. Para ello, podemos contactar directamente con el banco que aparentemente firma el mensaje para que nos informe.

Es importante comprobar que la dirección de la página web a la que remite el mensaje se corresponde con la de la entidad y no con una copia (podemos situar el cursor del ratón por encima del enlace para comprobar a qué página web apunta y verificar si no es una web falsa). La comprobación debe ser minuciosa, ya que a veces la diferencia entre la URL de la web original y la del portal falso es muy discreta (una letra omitida, otra repetida, etc.). De hecho, es recomendable no acceder a la web del banco desde un enlace de un correo electrónico, sino que lo ideal es hacerlo tecleando directamente en el navegador la dirección web del sitio.

¿Y si hemos sido víctimas de un caso de ‘phishing’?

Si somos víctimas de un ataque de phishing bancario, deberíamos presentar una denuncia ante las autoridades y acompañarla de toda la información relacionada con la estafa que podamos recuperar, como los correos electrónicos que usaron los malhechores como cebo. Asimismo, es importante que informemos a la entidad bancaria cuya identidad ha sido suplantada para que esté alerta y advierta al resto de sus clientes.

Por otra parte, tendremos que cambiar las contraseñas de acceso a la banca electrónica que se hayan visto comprometidas, así como las de aquellos otros portales en los que usemos la misma clave. Si hemos compartido inconscientemente los datos de nuestras tarjetas, es importante que las bloqueemos lo antes posible y solicitemos una nueva.

2019-05-03 15:36:49