Gran parte de nuestra vida personal y profesional transcurre en línea. Utilizamos Internet para realizar nuestras operaciones bancarias, para relacionarnos con nuestros amigos y familiares, y para relajarnos al final del día con nuestras películas y series favoritas. ¡Simplemente nos hace la vida más fácil! Sin embargo, también puede ayudar a los ciberdelincuentes y a los ladrones de identidad a conseguir sus objetivos.

Para aprovecharse de sus víctimas, estos estafadores pueden intentar convencerlas, por ejemplo, de que brinden sus datos personales o hagan clic en enlaces que descargan malware. Es posible que intenten hacerse pasar por una fuente de confianza o alguien a quien conoces personalmente. Esta estrategia de comunicación falsa en línea se denomina “phishing”.

Como bien sabemos, el conocimiento es poder. Si sabes qué es el phishing, cómo funciona y las señales que debes buscar para identificarlo, podrás minimizar el riesgo y volver a disfrutar de Internet como es debido. Esto es lo que debes saber. 

¿Cómo funciona el phishing?

Probablemente hayas oído hablar del término “phishing”, pero tal vez no sepas lo que significa. Este es un resumen rápido de cómo funciona.

El phishing es un tipo de ciberdelito en el que los estafadores envían comunicaciones que parecen proceder de fuentes confiables, como, por ejemplo, una gran empresa. Básicamente, intentan sacar partido de la confianza de la gente mediante lo que se conoce como ingeniería social. Pueden solicitar información confidencial, como contraseñas, datos bancarios y números de tarjetas de crédito. Luego, los hackers pueden utilizar esta información para acceder a tus tarjetas de crédito o a tus cuentas bancarias.  

Sin embargo, la particularidad de los ataques de phishing es que pueden llegar a través de varias plataformas, como:  

  • Correo electrónico: es el tipo más habitual de phishing; el 96 % de los ataques de phishing utilizan esta vía. 
  • Llamadas telefónicas: los estafadores pueden dejar mensajes animando a las víctimas potenciales a llamar a un número en el que alguien les pedirá sus datos personales.  
  • SMS: el objetivo es conseguir que el usuario haga clic en enlaces a un sitio web o página web maliciosos 
  • Suplantación de Wi-Fi: los estafadores crean un punto de acceso Wi-Fi gratuito malicioso que aparenta ser un punto de acceso legítimo. Una vez que el usuario se conecta, el estafador tiene acceso a su sistema. 

¿Qué tipo de información pretenden conseguir los fraudes de phishing?

Hemos mencionado que el objetivo del phishing es obtener información confidencial, pero ¿qué se busca más concretamente? Estos son los tipos de información que pretenden conseguir los estafadores mediante phishing 

  • Datos de inicio de sesión (incluida la cuenta de email y la contraseña)
  • Información de tarjeta de crédito
  • Números de cuentas bancarias
  • Números de documentos de identidad
  • Datos empresariales

Tipos de ataques de phishing

Los fraudes de phishing pueden presentarse en distintas formas, pero reconocer los más habituales puede ser útil para mantener a raya a los ladrones de identidad. Aquí tienes algunos que debes conocer:

Suplantación de identidad por email

Un email de phishing es un mensaje fraudulento que aparenta proceder de una empresa o persona legítima. Puede pedirte que brindes datos personales o que hagas clic en un enlace que descarga malware. Por ejemplo, un email que supuestamente procede de tu banco te comunica que, debido a una actividad sospechosa, debes acceder a tu cuenta bancaria para verificar tu información.

Por suerte, hay pistas que te permiten detectar un ciberataque de phishing como este.  

  • El mensaje contiene erratas y errores gramaticales. Si el mensaje de email está lleno de errores ortográficos y gramaticales, es probable que se trate de un fraude de phishing. Las empresas no envían mensajes plagados de errores. 
  • Un banco solicita información personal. Las entidades financieras no envían emails pidiendo información personal, como el PIN, el número del documento de identidad o de la cuenta bancaria. Si recibes un mensaje de este tipo, bórralo y no facilites ninguna información. 
  • La URL no coincide. Para ver la dirección de email del remitente, pasa el mouse sobre su nombre o sobre el enlace en el mensaje. Si la dirección del remitente no coincide con el nombre que aparece, es una señal de alarma. Por ejemplo, si un email que parece ser de FedEx tiene una dirección de correo electrónico sin el nombre de la empresa o el nombre está mal escrito, lo más probable es que sea un email de phishing. Para comprobar la URL de un enlace en un celular, toca el enlace y mantenlo presionado. 
  • El email no está personalizado. Las empresas con las que tienes una relación comercial se dirigirán a ti por tu nombre. Los emails de phishing suelen utilizar saludos genéricos, como “Estimado titular de cuenta”.
  • Hay sensación de urgencia. Los mensajes de phishing inventan falsas emergencias para que actúes sin pensar. Pueden notificarte que, si no confirmas inmediatamente tus datos personales, van a congelar tu cuenta. Las solicitudes de acciones urgentes suelen ser indicio de phishing. Antes de cerrar una cuenta, las empresas legítimas dan a sus clientes un plazo razonable para responder. 
  • El remitente es desconocido. Si un email proviene de un remitente que no reconoces o de una empresa de la que no eres cliente, quizás sea conveniente borrarlo. Además, desconfía de los emails de personas conocidas que te parezcan inusuales o sospechosos. 

Phishing selectivo

A diferencia de los emails de phishing que se envían a un público amplio, los mensajes de phishing selectivo (o spear phishing) se dirigen a personas o empresas concretas. En este caso, los estafadores investigan al destinatario y personalizan el mensaje para que parezca más auténtico.

Estos son algunos ejemplos de emails de spear phishing:

  • Hacking empresarial: los ciberdelincuentes envían emails a empleados de una empresa para encontrar vulnerabilidades en la red corporativa. Los mensajes pueden parecer proceder de una fuente de confianza. Basta con que una persona haga clic en un enlace para descargar un ransomware que infecta la red.  
  • Una nota del jefe: un empleado recibe un email fraudulento que parece venir de un directivo en el que le pide que le facilite información de la empresa o agilice el pago a un proveedor. 
  • Estafas en redes sociales: los ciberdelincuentes pueden utilizar información de tus cuentas de redes sociales para solicitar dinero o datos. Por ejemplo, un abuelo puede recibir un SMS supuestamente enviado por su nieto que le pide dinero para una emergencia. Sin embargo, cuando lo llama para verificarlo, descubre que su nieto está en casa sano y salvo. 

Una de las mejores defensas contra el spear phishing es ponerse en contacto con el remitente del email para confirmar la solicitud. Llama al compañero de trabajo que te pide que hagas una transferencia o entra en tu cuenta de Amazon para comprobar si tienes mensajes. 

Phishing de clonación

En esta estafa muy personalizada, los estafadores duplican un mensaje de email legítimo que quizá recibiste previamente y agregan archivos adjuntos o enlaces maliciosos a un sitio web falso. El email supuestamente es el original reenviado. Si haces clic en el enlace malicioso, puedes dar a los ciberdelincuentes acceso a tu lista de contactos, que a su vez recibirán un email falso que parecerá provenir de ti.

Aunque los emails de phishing de clonación parecen auténticos, hay formas de detectarlos, como, por ejemplo:  

  • Haz un seguimiento directo. Ve al sitio web del banco, de la tienda en línea o de la empresa para ver si debes hacer algo. 
  • Examina la URL. Solo se debe confiar en sitios web que empiecen por HTTPS, nunca en los que comienzan por HTTP. 
  • Busca errores. Como con cualquier email de phishing, presta atención a los errores ortográficos y gramaticales. 

Phishing de voz

Con el phishing de voz o vishing, los estafadores te llaman e intentan persuadirte de que les facilites datos confidenciales. Pueden suplantar el número en la identificación de la llamada para que parezca proceder de una empresa local o incluso de tu propio número de teléfono. Las llamadas de vishing suelen hacerlas robots que dejan un mensaje de voz o te piden que presiones botones para hablar con una operadora. La intención es robar datos de tarjetas de crédito o información personal o financiera para utilizarla en robos de identidad.

Afortunadamente, hay señales que delatan estos ataques, como, por ejemplo:  

  • La llamada procede de un organismo público. Si quien llama dice ser de un organismo público, es probable que se trate de un fraude. A menos que seas tú quien lo haya solicitado, los organismos como Hacienda no suelen llamar ni enviar SMS o emails. 
  • Exigen actuar con urgencia. Los estafadores intentan generar miedo para inducirte a actuar con rapidez. La necesidad de acción inmediata es un signo revelador. 
  • Solicitan datos personales. Si la persona que llama te pide tus datos, es una señal de alarma. A veces, el estafador ya dispone de parte de tus datos, como los primeros dígitos de tu documento de identidad, e intentará hacerte creer que la llamada es legítima para que le brindes información adicional. 

Si quieres evitar las llamadas de vishing, puedes hacer varias cosas. Si no conoces el número, no contestes al teléfono. Deja que la llamada vaya al buzón de voz y bloquéala si no es legítima. Utiliza una aplicación de bloqueo de llamadas para filtrar las llamadas que llegan al celular. Para bloquear llamadas en un teléfono fijo, consulta a tu proveedor qué servicios ofrece.

Con los ciberdelincuentes no tienes por qué guardar las formas. Si contestas una llamada de vishing, cuelga en cuanto te des cuenta. No respondas a ninguna pregunta, ni siquiera con un sí o un no. Podrían grabarte la voz y utilizarla en robos de identidad. Si te piden que pulses un botón para borrarte de una lista de llamadas, no lo hagas: solo recibirás más llamadas.

Si recibes un mensaje de voz y no estás seguro de su legitimidad, llama directamente a la empresa al número de teléfono que aparece en su sitio web. No llames al número que hayan dejado en el buzón de voz. 

Smishing

Si alguna vez has recibido un mensaje de texto que simulaba ser de Amazon o FedEx, ya sabes lo que es el smishing. Los estafadores utilizan los mensajes de smishing (SMS de phishing) para que la gente haga clic en enlaces maliciosos desde el smartphone.

Los SMS fraudulentos más habituales son los siguientes:

  • Obtención de premios: si parece demasiado bueno para ser verdad, probablemente lo sea. 
  • Reembolsos falsos: las tiendas en las que compras no envían SMS, sino que abonan el importe en cuenta o en la tarjeta de crédito. 
  • Familiares que necesitan ayuda: estos mensajes suelen solicitar dinero para una fianza u otro tipo de ayuda para un familiar que se encuentra en el extranjero. 
  • Mensajes de organismos públicos: borra siempre estos mensajes porque los organismos públicos nunca envían SMS. 
  • Textos de empresas como Amazon o Apple: estas son las empresas cuya identidad se suplanta con más frecuencia, ya que la mayoría de nosotros tenemos cuenta en una de ellas o en ambas. 

Si recibes un SMS de smishing, no respondas, porque recibirás más. Lo mejor es que lo borres y bloquees el número. 

Phishing mediante avisos emergentes

Este tipo de phishing se produce cuando estás navegando en un sitio web y aparece un aviso emergente falso que te invita a hacer clic en un enlace o a llamar a un número para resolver un problema. Cuando intentas cerrarlo, a veces vuelve a cargarse repetidamente o bloquea el navegador.

Los fraudes mediante avisos emergentes más habituales son:

  • Alerta de computadora infectada: este aviso fraudulento intenta persuadirte de que hagas clic en un enlace para eliminar virus de tu computadora. Para aumentar la sensación de urgencia, algunos incluyen falsos temporizadores de cuenta atrás que te dan unos segundos para hacer clic en un enlace e instalar el software antivirus. En realidad, el enlace instala malware. Un software antivirus legítimo como McAfee Total Protection nunca se comporta así, sino que protege tu vida digital contra el malware, el phishing y otras amenazas. 
  • Renovación de AppleCare: este aviso emergente te anima a llamar a un número de Apple falso para indicar los datos de tu tarjeta de crédito y ampliar la garantía de Apple. 
  • Mensajes emergentes del proveedor de email: este aviso emergente, que parece proceder de tu proveedor de correo electrónico, te invita a brindar tus datos personales. 

Si ves un aviso emergente fraudulento, no hagas clic ni intentes tampoco hacer clic en el botón de cerrar que incluye. Lo que debes hacer es cerrar la ventana del navegador. Si el navegador está bloqueado, en una PC utiliza el administrador de tareas para cerrar el programa. En un Mac, haz clic en el icono de Apple y elige Forzar salida. 

¿Qué debo hacer si soy víctima de phishing?

Nuestra presencia en Internet nos hace visibles ante muchas otras personas, incluidos los estafadores. Por suerte, aunque llegaras a ser víctima del phishing, hay varias cosas que puedes hacer para volver a disfrutar del mundo digital, Son los siguientes:

  • Presenta una denuncia ante la FTC. Visita IdentityTheft.gov para reportar el phishing y sigue los pasos que se indican. 
  • Cambia tus contraseñas. Si has proporcionado las contraseñas de tu cuenta bancaria o de otro sitio web, entra en tu cuenta y cambia las contraseñas y las credenciales de inicio de sesión. Si tienes otras cuentas con las mismas contraseñas, cámbialas también. No utilices las mismas contraseñas en más de una cuenta. 
  • Llama a la entidad emisora de la tarjeta de crédito y comunica que has compartido el número de tu tarjeta de crédito. Ellos podrán ver si se han hecho cargos fraudulentos, bloquear tu tarjeta actual y emitir una nueva. 
  • Revisa tu reporte de crédito. Puedes obtener gratuitamente tu reporte de crédito cada 12 meses en las tres principales agencias de crédito, Experian, TransUnion y Equifax, visitando AnnualCreditReport.com. Comprueba si se ha abierto alguna cuenta nueva a tu nombre. 
  • Analiza tus dispositivos. Cabe la posibilidad de que, durante el ataque de phishing, hayas descargado malware. Un software antivirus, como el que incluye McAfee Total Protection, puede analizar tus dispositivos en tiempo real para detectar actividades maliciosas y eliminar los virus que contengan. 

¿Cómo puedo protegerme de los intentos de phishing?

Te mereces vivir tu vida en línea con libertad, pero para ello quizá debas tomar medidas para protegerte de los intentos de phishing. Aquí tienes algunas formas de mejorar tu ciberseguridad y mantener a los estafadores a raya: 

  • No hagas clic en los enlaces de los mensajes de email. Si recibes un email de tu banco o de una empresa como Amazon, abre una ventana en el navegador y ve directamente al sitio de la empresa. No hagas clic en los enlaces de un mensaje de email. 
  • Utiliza contraseñas únicas. Si utilizas la misma contraseña para varias cuentas y un hacker accede a una de ellas, podría entrar en todas. Utiliza contraseñas diferentes para cada una de tus cuentas. Un administrador de contraseñas como McAfee True Key puede ayudarte a crear y guardar contraseñas. 
  • Comprueba la seguridad de tu navegador. Los navegadores web como Google Chrome y Safari pueden configurarse para bloquear sitios web fraudulentos. Entra en la configuración de tu navegador y ajusta el nivel de seguridad. 
  • Utiliza filtros antispam. Todos los principales proveedores de correo electrónico tienen filtros antispam que mueven los emails sospechosos a una carpeta de correo no deseado o de spam. Cuando lleguen emails de phishing a tu bandeja de entrada, márcalos siempre como correo no deseado para que todos los demás mensajes de ese remitente vayan a la carpeta de spam.  
  • Elimina los emails sospechosos. Por ejemplo, elimina los mensajes de entidades financieras con temas urgentes en la línea del asunto. 
  • Utiliza protección antivirus. Todos tus dispositivos conectados a Internet deben tener una protección antivirus como McAfee Total Protection. Activa la actualización automática para mantener al día tu cobertura. 
  • No envíes información por email. Los bancos y las entidades emisoras de tarjetas de crédito no envían mensajes de email pidiendo datos personales. Si quieres confirmar información con una entidad financiera, ponte en contacto con ella directamente utilizando los datos de su sitio web, por ejemplo, un número de teléfono. 
  • Controla lo que publicas en redes sociales. Ten cuidado con lo que publicas en las redes sociales. Los cuestionarios en los que mencionas detalles de tu vida, como el nombre de tu mascota, el del colegio o cosas similares, pueden proporcionar a los hackers gran cantidad de información. Asegúrate de que solo tus amigos pueden ver tus publicaciones. 

Navega por Internet con seguridad

No tienes por qué dejar de disfrutar de Internet solo por los intentos de phishing. Los servicios de protección contra el robo de identidad de McAfee, incluido el software antivirus, te permiten disfrutar del mundo digital a salvo de estafadores y ladrones de identidad. 

Con supervisión activa ininterrumpida de tus datos confidenciales, incluidos hasta 60 tipos diferentes de información personal, la protección de McAfee es absolutamente proactiva. Esto significa que recibirás alertas 10 meses antes que nuestros competidores, por lo que podrás actuar antes de que tus datos se utilicen ilegalmente. Además, otorgamos hasta 1 millón de dólares de cobertura por robo de identidad y un servicio práctico de restablecimiento en caso de filtración de datos.

Lo mejor es que puedes personalizar el paquete según tus necesidades e incluir protección antivirus, supervisión para evitar el robo de identidad y cobertura para varios dispositivos. Con nosotros, navegar por Internet es más seguro.