Susana Galeano
Si bien el del eCommerce es un entorno cada día más seguro, aún siguen existiendo estafas muy comunes en las que debemos prestar mayor atención para evitar ser víctimas de un engaño y robo de nuestros datos. Entre los más comunes que aún circulan en la red se encuentra el phishing, un método de estafa de correo electrónico fraudulento y que últimamente se ha vuelto aún más sofisticado.
Es por ello que Sophos, la empresa de seguridad informática, ha compartido con nosotros estos 9 pasos para poder actuar ante un ataque de phishing y no ser una víctima más de la ciberdelincuencia.
9 pasos para evitar un ataque de phishing
Tanto si has descubierto un email extraño que viene de una compañía conocida solicitando tus datos, como si has recibido archivos adjuntos que tú no has solicitado, se recomienda seguir las siguientes 9 pautas de seguridad y evitar el robo de tus datos:
1.Observa detalladamente las URL en los enlaces de correo electrónico
Si has recibido un email con un enlace adjunto, antes de hacer clic sobre él pasa el cursor por encima con el objetivo de ver la URL completa y poder saber si es auténtica o no. Debes tener en cuenta que el ver un candado al inicio o el protocolo “https” no es garantía de autenticidad. Si no estás seguro de ello, mejor elimina el enlace y accede al sitio web capturando por completo el enlace en tu navegador.
2.Typosquatting
Siguiendo con la verificación de las URL, el typosquatting se refiere al uso de dominios parecidos al servicio legítimo a los que dicen pertenecer, pero que tienen intenciones maliciosas. Por lo general los ciberdelincuentes utilizan URL de una marca popular y cambian tan solo una o dos letras consiguiendo engañar a la mayoría de las personas. Es necesario revisar la ortografía de las URLs.
3.Cuidado con las redes inalámbricas que utilizas
Seguramente utilizas algunas redes públicas para navegar con tu móvil cuando te encuentras fuera de casa, pero debes tener cuidado de no utilizarlas al realizar pagos o compras online.
La información de tu tarjeta de crédito debe ser ingresada únicamente en redes seguras y en las que confíes. Además en lo posible puedes utilizar métodos de pago seguro como PayPal o tu tarjeta de crédito, evitando el uso de las tarjeas de débito en internet.
4.Utiliza contraseñas seguras
Siempre utiliza contraseñas diferentes y difíciles de adivinar. Si incluyes letras mayúsculas y minúsculas así como números y símbolos serán mucho más difíciles de descifrar.
5.No abras emails que no hayas solicitado
Antes de abrir cualquier correo electrónico verifica si hay alguna alerta sobre algún ataque de phishing de la empresa que lo envía. Si aún desconfías, puede ser una buena idea llamar directamente a la empresa y preguntar si están haciendo algún tipo de comunicación al respecto del título del email que te hayan enviado.
6.No hagas clic en los enlaces de los emails o SMS
Por lo general un ataque de phishing descarga malwares a través de enlaces que se han adjuntado al correo electrónico, así que mantén una alerta máxima al seguir enlaces en los emails, SMS, mensajes de WhatsApp o en redes sociales, a pesar de que hayan sido enviados por personas conocidas.
7.No descargues ficheros adjuntos
Al igual que en los enlaces, deberás tener mucha precaución al descargar los ficheros adjuntos en redes sociales, WhatsApp o SMS.
8.Puedes contar con un programa de formación antiphishing
Así podras crear conciencia en tus empleados por medio de la educación sobre la seguridad que se debe tener contra estas prácticas maliciosas.
9.Cambia tu contraseña de inmediato
Si caes en un ataque de phishing no dudes en cambiar tu clave de acceso. Además será recomendable llamar al banco para confirmar si ha habido algún tipo de actividad fraudulenta.
Algunos ejemplos de ataques de phishing en España
Entre las más comunes que se han detectado en España en los últimos tiempos, se pueden nombrar:
CaixaBank
En el caso de la suplantación a CaixaBank, los ciberdelincuentes se hacían con las cuentas y contraseñas de acceso a la banca online. Esta campaña de phishing, llega a los usuarios a través de un correo electrónico en el que se ofrece un reembolso de 195€ de la tarjeta de crédito, el pretexto para introducir los datos personales en un formulario que se incluye en el email, y así hacerse con los datos bancarios.
Correos
Solía circular un email cuyo asunto es “Carta Certificada CD 61278791640” en el cual se comunica que el documento no ha podido ser entregada en el domicilio y se informa de un recargo de casi 10 euros diarios por no recogerlo a tiempo. El enlace “Descargar información sobre su pedido” es el que contiene el malware. Tras hacer clic se descargaba un archivo llamado “Carta_Certificada.zip” que contiene otro denominado “Carta_Certificada.js”. Este es el que encarga del proceso de cifrado del equipo.
Endesa
Los ciberdelincuentes también han usado la imagen de Endesa para instalar malwares en los equipos de las víctimas. Con el asunto “Factura electrónica de Endesa”, el correo tiene un enlace llamado “consulta tu factura y consumo”, el cual descarga un fichero llamado “ENDESA_FACTURA.zip” que contiene un archivo JavaScript, que al ser ejecutado instala un malware en el equipo para cifrar los ficheros y posteriormente pedir un rescate por ellos.
MRW
En 2021 circularon mensajes fraudulentos utilizando el nombre y marca de MRW a través de SMS, mensajes de correo electrónico e imágenes que solicitaban un pago por adelantado o que contenían enlaces a páginas web potencialmente engañosas en las que los usuarios podrían compartir datos sensibles.
Este tipo de ataque podría haber pasado desapercibido si no fuera porque los mensajes incluían información delicada de los usuarios, como son nombres tanto del usuario como de la tienda donde ha comprado así como el identificador que se asignó a su envío.
Imagen: Depositphotos y ShutterStock
Mantente informado de las noticias más relevantes en nuestro canal de Telegram