El phishing y tu cuenta bancaria, ¿Cómo evitar el fraude online?

Vivimos en un mundo cada vez más conectado, rápido y accesible: Desde nuestro móvil y con unos pocos clics podemos realizar operaciones bancarias que, hasta no hace mucho, exigían varias horas e incluso unas cuantas visitas a la sucursal.

Este claro signo de progreso también acompaña, sin embargo, algunos inconvenientes como son las brechas de seguridad y los nuevos métodos de fraude online que pueden poner en peligro nuestro dinero.

Es una realidad que los intentos de estafa se han multiplicado en los últimos años, siendo estos ataques cada vez más sofisticados. El más conocido de ellos es el phishing bancario, el intento por parte de los ciberdelincuentes de acceder a nuestros datos privados con el fin de vaciarnos la cuenta bancaria y hacer uso de nuestras tarjetas.

Por eso, debemos estar siempre atentos a los posibles SMS, emails u otras comunicaciones que recibamos en nuestro móvil, para evitar ser víctimas de una estafa a través del phishing y mantener nuestra cuenta bancaria segura.

¿Qué es el phishing?

El phishing es un delito que consiste en engañar a una persona para que comparta información confidencial, como contraseñas y números de sus tarjetas de crédito. El phishing bancario es la forma de fraude online más común de las estafas por internet, ya que es relativamente fácil hacer “picar” a una víctima en este engaño.

¿Y cómo funciona el phishing? El primer paso es tan simple como recibir un correo electrónico o un mensaje de texto (SMS) que falsifica o suplanta a una persona u organización en la que confiamos como alguna administración estatal o nuestro banco.

En ese mensaje se nos indica que vayamos a un sitio web y realicemos una acción. Muchas veces este proceso se nutre del miedo, al simular por ejemplo una notificación de nuestra entidad bancaria avisando de un cobro inesperado o un eventual bloqueo en nuestra tarjeta, que solo podría arreglarse entrando en nuestra banca digital o haciendo clic en el SMS.

Si mordemos el anzuelo y hacemos clic en el enlace, somos enviados a una web prácticamente igual a la original, lo que hace muy difícil que a simple vista nos demos cuenta de que se trata de un sitio no oficial. Esta web nos pedirá que iniciemos sesión con normalidad, indicando nuestro nombre de usuario y contraseña.

Cuando introduzcamos nuestros datos de acceso, estos pasarán a manos del atacante, que los podrá utilizar para suplantar nuestra identidad, vaciar nuestra cuenta bancaria o incluso vender nuestra información.

Phishing bancario: la estafa más sencilla pero la más peligrosa

A diferencia de otros tipos de ciberataques, el phishing no requiere conocimientos técnicos especialmente elevados. Esto se debe a que no consiste en atacar a un programa informático sino a una persona, aprovechando sus sesgos y sus conductas aprendidas.

Los ciberdelincuentes no intentan explotar una vulnerabilidad en el software de nuestro teléfono u ordenador, sino que utilizan la “ingeniería social” para que creamos en lo que nos envían. Desde Windows hasta Mac y Android, ningún sistema operativo está completamente a salvo del phishing, por muy fuerte que sean sus sistemas de seguridad.

De hecho, los atacantes suelen recurrir a esta clase de estafa debido a que no encuentran ninguna vulnerabilidad técnica.

¿Para qué iban a perder tiempo tratando de hackear la seguridad de una aplicación cuando pueden engañar y hacer que el propio usuario entregue sus claves?

La mayoría de las veces, el eslabón más débil de un sistema de seguridad no es un fallo en el código informático, sino una persona que no comprueba dos veces el remitente de un e-mail.

La clave del éxito de estos estafadores radica en que lanzan miles de ataques de phishing cada día. Con que caiga en el engaño apenas un 1 % de quienes los reciben, el ataque puede representar muchos miles de euros.

Técnicas del phishing

El phishing cambia a gran velocidad a medida que deja de ser efectivo. Las tácticas que se utilizan no siempre son las mismas, pero existen algunos signos que te pueden ayudar a identificar un email o un SMS malintencionados.

Los correos electrónicos y mensajes de texto de phishing pueden parecer de nuestro banco habitual o una empresa que conocemos como una red social a la que entramos a menudo o un e-commerce en el que solemos comprar.

Los más típicos aseguran que se ha detectado alguna actividad sospechosa o algún problema con una información de pago: Esto inmediatamente nos alarmará y creará la sensación urgente de acceder a nuestra cuenta bancaria.

También los hay que nos piden que confirmemos nuestros datos o nuestra identidad para finalizar un pedido, o los que directamente se hacen pasar por administraciones, como Hacienda.

Como bases para identificar el phishing, tenemos este ejemplo de Netflix:

A simple vista, pareciera que Netflix solo nos pide que confirmemos nuestros datos de pago para lo cual es indispensable que accedamos a nuestra cuenta bancaria, pero ¿Hay alguna señal de que es una estafa?

• El correo electrónico parece provenir de una empresa que conoces y en la que confías: Netflix. Incluso utiliza el logotipo y el encabezado oficial.
• El correo electrónico dice que la cuenta está “bloqueada” o “en espera” debido a un problema de facturación. ¡Cuidado! No parece el modus operandi de tu banco, ¿verdad?
• El correo electrónico tiene un saludo genérico. Es probable que si tienes una cuenta en una empresa como esta, el saludo sea personalizado, así que mucho ojo a este tipo de detalles.
• El correo electrónico te apresura a hacer click en un enlace para actualizar tus datos de pago. ¿Por qué tanta prisa?

Como puedes ver, aunque a primera vista este correo electrónico parece real, no lo es.

5 consejos para detectar un intento de phishing

Reconocer un intento de phishing puede ser realmente complicado, pero existen algunos consejos que permiten advertir elementos inusuales o fuera de lugar.

Confía en tu intuición, pero no te dejes llevar por el miedo y por la inmediatez: Los ataques de phishing bancario siempre utilizan el miedo y las prisas para que no te demores en pensar un par de minutos antes de hacer clic.

Aquí van los 5 consejos para detectar un intento de phishing:

1. El mensaje hace una oferta demasiado generosa. En muchos casos te dice que has ganado la lotería o algún otro premio similar y, por supuesto, tendrás que acceder a tu banco si quieres recoger ese increíble regalo.
   
   Recuerda: si parece demasiado bueno para ser verdad, probablemente sea demasiado bueno para ser verdad.
   
2. Conoces al remitente del mensaje, pero la persona que te escribe no es alguien con quien sueles hablar. Aunque conozcas la entidad o la institución, sospecha si proviene de alguien con quien no sueles comunicarte, especialmente si el contenido del correo electrónico no tiene nada que ver con tus trámites habituales.
   
3. El mensaje infunde miedo o alarma. Ten cuidado si el correo electrónico tiene un lenguaje alarmista para crear una sensación de urgencia, obligándote a hacer clic “ahora o nunca” para evitar que tu cuenta se cancele, te impongan una multa, etc.
   
   Rara vez las cosas son tan inmediatas, y menos aún en el caso de tu banco que por norma te avisará con (al menos) semanas de antelación de cualquier modificación en su política o infracción en tu cuenta.
   
4. El mensaje contiene archivos adjuntos que no esperas. Tales archivos pueden contener malware u otras formas de atacar tu ordenador o tu móvil.
   
5. El mensaje contiene enlaces extraños. Antes de hacer clic, pasa el ratón por encima de cualquier enlace que te hayan enviado por correo electrónico, para ver adónde dirige. Si la URL no te resulta conocida, no hagas clic. Además, estate atento a las faltas ortográficas, gramaticales o de sintaxis que puedan delatar que una web no es la original.

Casos y ejemplos de phishing bancario

Este es un ejemplo de un intento de phishing. Un supuesto aviso de PayPal pide al destinatario que haga clic en el botón de «Confirmar ahora», pero al pasar el ratón por encima se revela el verdadero destino del enlace: la URL que se observa en el rectángulo rojo.

Una URL que, como vemos, nada tiene que ver con la web original de PayPal.

La estafa de phishing de BBVA

Otra estafa a través de phishing es la que utiliza la identidad del banco BBVA. A través de un e-mail o un SMS, se señala al cliente que es necesario actualizar algunos datos por supuestos motivos de seguridad:

Si hacemos clic en el enlace seremos dirigidos a una web falsa, en la cual deberíamos acceder a nuestra área personal:

Si introducimos nuestros datos, habremos entregado todas nuestras claves a los ciberdelincuentes. Con ellas, podrán acceder a nuestra banca privada, utilizar nuestras tarjetas o traspasar fondos sin nuestro permiso.

¿Cómo me protejo contra el phishing bancario?

Como hemos visto anteriormente, el phishing es una amenaza en cualquiera de nuestros dispositivos, ya sea en el móvil, ordenador o tablet. Para protegerte, lo primero es aprender a reconocer las señales, así como acceder siempre de forma segura a tu banca digital.

Algunos consejos para no caer en la trampa del phishing:

• No abras correos electrónicos de remitentes que no conozcas.
• Si los abres e incluyen enlaces, pasa el ratón por encima de los enlaces para ver adónde dirigen antes de hacer clic.
• No hagas nunca clic en un enlace dentro de un correo electrónico, a menos que conozcas el sitio adonde te conduce.
• Si por algún motivo crees que debes acceder a un enlace proporcionado en un correo electrónico por un remitente a quien no conoces, no hagas clic: escribe la URL de forma manual en la barra de direcciones del navegador.
• Busca el certificado digital de cada sitio web por el que navegues o en el que introduzcas cualquier tipo de dato personal.
• Comprueba que la URL de la página web empieza por «https» y no solo por «http». La «s» significa «seguro».

Si te mantienes alerta y sigues estos trucos y consejos, estarás más protegido contra la trampa del phishing y tus datos bancarios se mantendrán lo más seguros que sea posible.

FAQ – Preguntas Frecuentes sobre phishing

¿Cómo puedo saber si una página web es segura?

Uno de los mejores elementos para saber si la web en la que navegas es segura es el certificado SSL. Este certificado nos indica que la web es original y que la información que introduzcamos estará cifrada. Podemos saber que el sitio web tiene el certificado vigente si la URL empieza por “https” en vez del “http” tradicional.

¿Cómo saber si el archivo que nos descargamos contiene un virus?

Nuestro navegador por norma general es capaz de identificar muchos de los archivos que contienen virus antes de hacer una descarga. Por ejemplo, Google nos informa de que el archivo no es seguro antes de descargarlo para que podamos cancelar la descarga. Aun así, sé precavido con el tipo de archivos y el formato de estos antes de decidir bajártelos a tu dispositivo.

¿Qué hago con un email que contiene phishing?

Lo principal antes de nada es que no lo abras, no respondas al remitente y sobre todo que no des clic a ninguno de los enlaces que propone el correo. Márcalo en tu gestor de correo electrónico como amenaza para que pueda detectar mensajes similares y bloquearlos.

¿Por qué me llegan correos con phishing?

A veces podemos ser víctimas de correos electrónicos con phishing debido a los lugares donde estamos registrados. Además, las bases de datos de ciertas empresas a veces son vendidas a otras compañías de gestión de datos comerciales, los llamados data brokers. Si otras personas o firmas compran estas bases de datos, pueden acceder a nuestra dirección de e-mail y comenzar a enviarnos correos con phishing.