En lo que llevamos de año, al menos cuatro bancos españoles o, mejor dicho, sus clientes, han sido víctimas de ataques de phishing phishing. El Observatorio de Seguridad del Internauta ha detectado campañas fraudulentas contra Bankia, BBVA, Caja Rural e ING. Tampoco han escapado de los ataques compañías como PayPal, Endesa, Netflix o, incluso, Correos.
Los bancos se encuentran entre los principales afectados por los ataques de phishing. De acuerdo con un informe elaborado por Kaspersky Lab, en 2018 el 21,7% de los ataques tuvieron como objetivo los bancos. La cifra es alarmante, pero más aún si la juntamos con esta otra:n España es el octavo país del ranking mundial con más usuarios afectados por esta práctica, concretamente el 20% de los internautas ha sufrido ataques de phishing.
La banca informa regularmente a sus clientes sobre cómo evitarlos. Algunas entidades, incluso, añaden un pie de página en sus correos electrónicos en el que recuerdan que el banco nunca solicitará por e-mail contraseñas o números secretos, recuerdan los expertos en finanzas personales del comparador financiero HelpMyCash.com. Sin embargo, seguimos cayendo en la trampa. ¿Por qué?
Al parecer, sobrevaloramos nuestras capacidades para distinguir los ataques de phishing. De acuerdo con un estudio realizado por la compañía Webroot, “casi cuatro de cada cinco trabajadores de oficina (79%) piensan que pueden distinguir un mensaje de phishing de uno real”; sin embargo, parece que realmente desconocen todas las fuentes de las que pueden proceder este tipo de ataques.
Según el estudio, en el que se han encuestado a 4.000 oficinistas de Australia, Estados Unidos, Japón y el Reino Unido, aunque el 81% de los participantes tenía conocimiento de que los correos electrónicos son uno de los medios usados por los atacantes para abordar a sus víctimas, solo un 60% sabía que también lo son las redes sociales. La cifra se reducía en el caso de los mensajes de texto (59%), llamadas telefónicas (43%), notificaciones de apps (40%), correo postal (34%) o chats (22%). “Estamos más acostumbrados a sufrir ataques de phishing por e-mail, por lo que tenemos más capacidades para detectar los correos fraudulentos”. Además, muchas campañas de prevención se enfocan sobre este medio.
El problema es que los ataques son cada vez más sofisticados y pueden aparecer por cualquier vía, como los mensajes de texto o las redes sociales.
La mayoría de los ataques de phishing, especialmente los que están relacionados con los bancos, funcionan igual. La víctima recibe una comunicación, por ejemplo un e-mail o un SMS, de un remitente supuestamente oficial que le invita a pinchar sobre un enlace. Dicho link apunta, aparentemente, a la página web de la compañía, aunque en realidad se trata de una copia. Una vez en la web, el objetivo es que la víctima introduzca sus datos, normalmente datos financieros, o realice algún pago. Si caemos en la trampa, lo más probable es que perdamos dinero o nos suplanten la identidad.
Lo cierto es que muchas veces el sentido común es nuestra mejor herramienta para detectar
ataques de phishing. En primer lugar, debemos verificar quién es el remitente y si la cuenta desde la que envía la comunicación es corporativa o usa un dominio gratuito, como gmail.com o hotmail.com. Si se trata de este último caso, lo más probable es que sea phishing. En segundo lugar, debemos comprobar el tono del mensaje. Si el contenido es alarmista e inesperado y nos insta a llevar a cabo una acción, por ejemplo introducir nuestros datos bancarios en una web so pena de que nuestras cuentas queden bloqueadas, es phishing.
En tercer lugar, hay que prestar atención a la forma en la que está escrito el mensaje. Si parece una mala traducción y está repleto de errores sintácticos y ortográficos, es phishing. No olvidemos que una comunicación oficial de una compañía reconocida como un banco estará cuidada. Asimismo, si el diseño gráfico del mensaje no se corresponde con el estándar corporativo de la empresa, debemos estar alerta.
Y lo más importante, debemos comprobar que la URL a la que apunta el mensaje redirige a
una página web oficial y no a una que intenta suplantarla. Antes de hacer clic, podemos ubicar el cursor del ratón sobre el hipervínculo y comprobar a dónde apunta. Hay que estar atentos, porque en muchos casos la diferencia con la web original es de solo un punto o una letra. Si llegamos a pinchar, antes de dar ningún dato personal, debemos comprobar que la web está totalmente operativa y que realmente es la original, además de verificar que cuenta con los estándares de seguridad esperados (certificado válido, protocolo seguro de transferencia de datos, etc.). Y no olvidemos que nuestro banco nunca nos pedirá todos nuestros datos de golpe, como, por ejemplo, todas las posiciones de una tarjeta de coordenadas.
A pesar de que uno de los métodos más sencillos para verificar un ataque de phishing es comprobar si los enlaces que acompañan a los mensajes se corresponden con el destino al que supuestamente deben dirigir, únicamente el 43% de los encuestados para elaborar el estudio de Webroot verifica que los links coincidan con su destino antes de pinchar sobre ellos, “a pesar de que hacer clic en enlaces maliciosos es una de las principales formas en que un simple intento de phishing puede convertirse en una infección importante”, afirma el estudio. Asimismo, solo el 52% de los encuestados verifica la gramática del mensaje, únicamente el 38% comprueba su tono y tan solo el 44% verifica la firma original del remitente.