Empresas

La mitad de los ataques de phising se hacen con bancos: estos son los correos que buscan robarte

Ciberdelincuentes falsifican las páginas webs de los bancos, las envían por correo electrónico y piden las claves de la tarjeta de crédito a los usuarios. Más de la mitad de las suplantaciones de identidad provienen de bancos

  • Un usuario frente a un ordenador

Pedro y María son un matrimonio murciano. Pensionistas desde hace unos meses, están en cierta forma digitalizados. Tienen correo electrónico, WhatsApp, Twitter y leen noticias desde Internet. Son, como tantas otras personas que están en la Red y tienen dinero en el banco, objetivo de las redes de ciberdelincuentes. Hace unos meses recibían falsos correos en los que, supuestamente sus bancos les habían inhabilitado las cuentas bancarias por un tema de gestión interna y pedían la numeración y las claves de seguridad de sus tarjetas de crédito. Era una estafa.

Los bancos se han convertido en el objeto preferido por las cibermafias para engañar a las personas. Son los denominados ataques de suplantación de identidad -práctica también denominada como phising- realizados a partir de falsificaciones de las páginas web oficiales de los bancos. Una vez copiadas, se envían por correo electrónico de forma aleatoria. Cuando el usuario las recibe, las falsificaciones están tan logradas que siempre generan dudas.

En 2017 las tecnologías contra el phishing de la empresa de seguridad Kaspersky Lab detectaron más de 246 millones de intentos de hacer que los usuarios visitaran diferentes tipos de páginas de phishing. El 52% de ellos utilizaron a bancos para tratar de engañar a los usuarios.

La Oficina de Seguridad del Internauta asegura que los ataques de suplantación de identidad han sufrido un repunte

Los datos muestran que los usuarios de Apple -Macintosh- corren un peligro cada vez mayor. El 31,38% de los ataques de phishing en 2016 contra los usuarios de esta plataforma, tenían como objetivo el robo de datos financieros. En 2017 este porcentaje aumentó hasta alcanzar el 55,6%.

"Hay que tener clara una máxima; ningún proveedor de servicio (banco, red social o servidor de correo electrónico…) nos va a pedir jamás por correo electrónico o por teléfono nuestra contraseña. Nunca. Esto es aplicable a cualquier dato sensible que deba ser privado: numeración de tarjeta de crédito, pin, tarjeta de coordenadas…", explica el hacker ético Deepak Daswani.

Desde hace unas semanas se ha incrementado la intensidad de este tipo de ciberataques, tal y como alerta la Oficina de Seguridad del Internauta, quien hace hincapié en el Banco Santander como una de las entidades cuya identidad se ha intentado suplantar. Otros usuarios también han recibido correos de CaixaBank como el que se puede ver bajo estas líneas -incluimos también una falsa comunicación del Santander-.

Intento de Phising -suplantación de identidad- de Caixabank

Intento de Phising -suplantación de identidad- con el banco Santander

Detectar el fraude

Cuando se recibe una comunicación como las anteriormente mostradas es posible que el nivel de detalle no nos haga dudar de su autenticidad, pero siempre se ha de sospechar cuando cualquier empresa con la que trabajemos nos solicite datos sensibles por Internet.

Aquí van algunos consejos para descubrir cuándo se trata de una falsa comunicación tras la que casi con toda seguridad se encuentra la intención de cometer un fraude.

1.- Ninguna entidad solicita datos sensibles por correo

2.- Jamás entrar en los enlaces que se adjunten. Pueden dar entrada a software malicioso que se instale en el equipo sin que el usuario sea consciente

3. Incluso si recibes un mensaje o una carta de uno de tus mejores amigos, recuerda que también podría haber sido hackeada o falsificada.

4. Haz lo mismo con los correos de organizaciones oficiales como bancos, agencias de impuestos, tiendas online, agencias de viajes, aerolíneas... No es tan difícil fabricar una carta falsa que parezca real.

5.- Aunque recibas un mensaje o una carta de uno de tus mejores amigos, recuerda que también podría haber sido hackeada o falsificada. Mantente siempre alerta.

6.- Siempre que tengas que introducir tu usuario y contraseña en cualquier servicio, ten en cuenta que si ves el prefijo “https” antes de la dirección o URL de la página, significa que la página es segura. Si carece de la letra “s” (segura), declina trabajar con ella.

7.- Aplica lo mismo en los emails de organizaciones oficiales, como bancos, agencias de impuestos, tiendas online, agencias de viajes, aerolíneas... Incluso de tu propia oficina. No es tan difícil fabricar una carta falsa que parezca real.

8.- Fíjate en la dirección de correo y en cómo está escrito. A veces tienen faltas de ortografía -suelen escribirlos mafias internacionales-. Es raro que un comunicado oficial de un banco tenga este tipo de errores.

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli