Phishing: ¿cómo identificar y evitar las estafas por correo electrónico?

Entre los ciberdelitos, el phishing es la técnica más utilizada para intentar recopilar datos personales de forma fraudulenta. ¿Pero cómo protegerse?

¿Qué es el phishing?

El phishing, o suplantación de identidad en español, es una técnica fraudulenta que utilizan los ciberdelincuentes para recopilar datos personales (información bancaria, credenciales de inicio de sesión, etc.). Para conseguirlo, se hacen pasar por una entidad de confianza como una administración pública, un banco, un organismo reputado, una compañía de energía, una operadora de telefonía... Su objetivo es engañarle para robarle su información personal o profesional, especialmente la relativa a su identidad (número de la Seguridad Social, dirección postal, etc.) con el fin de darle un uso ilegal.

Esta técnica, que es sencilla, barata y muy rentable, encabeza la lista de ciberdelitos. Afecta por igual a particulares y empresas que no han implementado una estrategia de protección digital. El objetivo de los ciberdelincuentes es robar datos de identificación directos o indirectos y asociarlos a otras fuentes de datos recopilados de forma ilícita para futuros ciberataques.

Según el informe de actividad de 2023 de Cybermalveillance.gouv.fr, la suplantación de identidad (phishing) sigue siendo la amenaza más común para todos los públicos, ya que representa el 38 % de las solicitudes de asistencia.

¿Cuáles son los diferentes tipos de phishing?

Los ciberdelincuentes utilizan diversas técnicas de phishing para conseguir sus fines. Los intentos de phishing por correo electrónico más habituales incluyen:

• Falsos mensajes sobre la pornografía infantil.
• Falsos mensajes sobre la cuenta de formación personal.
• Falsos mensajes sobre entregas de paquetes.
• Falsos mensajes de soporte técnico.
• Solicitudes de supuestos amigos o familiares.

A este conjunto de correos electrónicos fraudulentos se suma el ataque de phishing por SMS, también conocido como smishing. Esta técnica de estafa en línea se aprovecha de las dificultades para identificar con certeza un SMS fraudulento recibido en un teléfono inteligente y sobre la marcha. Estos ataques, que van dirigidos a una amplia gama de objetivos, van desde correos electrónicos o SMS fraudulentos genéricos hasta contenidos mucho más específicos como el spear phishing o la suplantación de identidad dirigida. Existen muchos otros tipos de ataques de ingeniería social, entre los que se incluyen:

• Whaling: un ataque de phishing que consiste en dirigirse a la alta dirección de una empresa (CEO, director financiero, etc.).
• Vishing: una estafa de voz para engañar a la víctima.
• Phishing en redes sociales. Con esta técnica, el ciberdelincuente establece una relación de confianza con la víctima para que esta acabe revelando datos personales o información confidencial.

¿Sabía que en 2023 la policía y la gendarmería francesas registraron 278 770 delitos digitales, entre los que se incluyen estafas, ransomware, acoso, robo de datos personales y suplantación de identidad?

¿Cómo reconocer un correo electrónico de phishing?

Los mensajes maliciosos son cada vez de mejor calidad. Sin embargo, aunque los correos electrónicos de phishing están diseñados para ser casi idénticos a los correos electrónicos originales, es posible identificar un mensaje malicioso gracias a una serie de señales reveladoras. Estos son los elementos sospechosos que pueden alertarle:

• Una oferta especialmente atractiva o un contenido alarmista (impago o problema de facturación) que incluya un enlace para hacer clic o un archivo adjunto para descargar.
• Un correo electrónico de una empresa de la que no es cliente.
• Una dirección de correo electrónico del remitente sorprendente o que parezca abiertamente fraudulenta.
• Una solicitud de actualización o confirmación de datos personales.
• Una solicitud de donación ilícita.

Si ha instalado un antivirus en su dispositivo, esta solución de ciberprotección le avisará cuando reciba un mensaje fraudulento y lo bloqueará.

¿Qué hacer si soy víctima de phishing?

Si ha sido víctima de phishing, debe actuar con rapidez para limitar los posibles daños.

• Cambie inmediatamente las contraseñas de las cuentas que puedan haberse visto comprometidas (bandeja de entrada de correo electrónico, cuentas bancarias, redes sociales, etc.).
• Póngase en contacto con las instituciones pertinentes: si ha revelado información bancaria, informe inmediatamente a su banco o a su entidad financiera para que puedan bloquear cualquier actividad sospechosa.
• Denuncie el incidente: presente una denuncia ante las autoridades competentes, como la policía o a través de plataformas de denuncia en línea (Cybermalveillance.gouv.fr en Francia).
• Actualice sus programas informáticos: asegúrese de que todos sus programas y aplicaciones están actualizados, ya que esto puede evitar futuros ataques.