NoticiasCyL se sumerge en el mundo de la ciberseguridad para conocer los principales delitos que afectan a la sociedad a través de Internet y las redes sociales. Hablamos con Ruth García, experta de la Oficina de Seguridad del Internauta (OSI) de INCIBE para que nos explique en qué consiste las famosas campañas de ‘phishing’ y descubrir los riesgos, las medidas de prevención y recomendaciones frente a este tipo de ciberdelitos.
Pregunta: ¿En qué consisten las campañas de ‘phishing'?
Respuesta: Se trata de una técnica que utilizan los ciberdelincuentes para robar información privada de los usuarios. Hablamos de claves de usuario y contraseña, datos bancarios o cualquier otra información personal que se pueda almacenar en un servicio online.
P: ¿Cómo se ponen en circulación estas técnicas?
R: Los ciberdelicuentes ponen en circulación un correo electrónico o un mensaje de chat en listas de distribución por ejemplo en WhatsApp. Su intención es suplantar a una entidad conocida como puede ser un banco, una red social, un servicio público como Agencia Tributaria, servicios como PayPal, Amazon, etc. En definitiva, servicios que cuentan con muchos usuarios y saben que les va a salir rentable.
P: ¿Cómo son estos correos electrónicos?
R: Estos correos tienen mensajes alarmistas. El usuario al ver la alerta le lleva a tomar una decisión rápida sin contrastar la información y acaba accediendo a una página fraudulenta. Un ejemplo de los mensajes que suelen enviar se presentan como “hemos detectado movimientos ilegales en su cuenta y es importantísimo que haga click” seguido de un enlace para cambiar su nombre y su contraseña. Otro de los contenidos que suelen aparecer es “tenemos una nueva actualización o aplicación y para que la puedas utilizar, haz clic aquí y accede a nuestra página para cambiar sus datos personales”. La misión de los ciberdelincuentes con estos mensajes es meter miedo a los usuarios afectados. En el momento en el que la persona accede al enlace que ellos proporcionan le redirige a una página web que en apariencia parece igual que la del servicio que ha contactado con él, pero no lo es. La persona puede introducir sus datos, pensando que es el servicio original, y los envía directamente al ciberdelicuente ya que la página web ha sido creada para fines delictivos. Estas web tienen una URL diferente al servicio suplantado.
P: ¿Cómo consiguen los ciberdelincuentes las direcciones de correo o los números de teléfono?
R: Consiguen las direcciones porque normalmente están públicas a través de foros o filtraciones a servicios que tienen nuestros datos. Por Internet circulan grandes bases de datos con direcciones de correo electrónico y los ciberdelincuentes se aprovechan de esas bases de datos. Aunque actualmente no se utilizan tanto, era habitual que a través de las cadenas de mensajes de correo se reenviaban a direcciones y estas se hacían públicas para todos. Aunque en ocasiones, también envían a números y direcciones de email de manera aleatoria.
P: ¿Cuáles son los principales riesgos que corren los usuarios?
R: En el caso de las suplantaciones de bancos, los ciberdelincuentes poseen las tarjetas de coordenadas y pueden realizar transferencias bancarias o compras online. Con respecto al robo de información personal, ellos pueden suplantar la identidad del usuario con las claves de las redes sociales. De esta manera, acceden a los mensajes que los usuarios han enviado, publicaciones y pueden cometer delitos en nombre de la persona suplantada como extorsionar a otra persona para que le ingrese una cantidad económica. Incluso pueden extorsionar al propio usuario al que han suplantado si tiene entre sus mensajes privados contenido comprometido como fotografías o vídeos de carácter sexual. Normalmente, el fin de estos ciberdelincuentes es económico, pero pueden derivar también a casos de acoso.
P: ¿Qué recomendaciones debería seguir el usuario para evitar el phishing?
R: Lo más importante de todo es contrastar la información. Cuando recibimos un correo electrónico informando de que debemos realizar una acción rápidamente, antes de acceder al enlace, la persona tiene que ponerse en contacto con el servicio a través de su contacto de la página web o en los perfiles oficiales de sus redes sociales. Si el usuario tiene dudas también puede ponerse en contacto con la Oficina de Seguridad del Internauta de Incibe, la Policía Nacional o la Guardia Civil. También hay otras pistas para detectar este tipo de campañas de phishing. En primer lugar, si el mensaje es muy alarmista tenemos que poner el mensaje en cuarentena. En segundo lugar, si el correo que recibidos está mal redactado o con faltas de ortografía probablemente es un fraude ya que estos mensajes se envían a cualquier parte del mundo y están traducidos automáticamente. Por último, se debe prestar atención a la URL del enlace proporcionado. Se trata de una campaña de phishing si tiene caracteres que nada tienen que ver con la URL original o no cuentan con http ya que no contienen un certificado digital que se traduce en una garantía como sitio web seguro.