Phishing, phishing, phishing… En todos lados vemos y escuchamos esta palabra, sobre todo desde que empezó la pandemia. Nos piden que nos cuidemos y que estemos atentos para no caer en estas estafas, pero quizás no terminamos de entender bien cuál es el riesgo y cómo evitarlo. Si te sentís identificado con esto, este «Qué es» es para vos.
Empecemos por el principio: el phishing es un engaño para robar información; en inglés significa «pescar» y hace referencia a la captación engañosa de datos personales. ¿Cómo funciona? Básicamente, un ciberatacante se hace pasar por un ente (por ejemplo un banco o una red social) para ganar la confianza del usuario y así robar aquello que desee obtener. Por eso decimos que es una especie de «cuento del tío» pero digital.
«Lo que hace el atacante es apelar a la ingeniería social para explotar las características humanas que nos hacen confiar ante determinadas situaciones. Muchas veces utilizan el pánico que tenemos a que nos bloqueen una cuenta bancaria o –en el contexto de la pandemia– a que no podamos acceder a un tratamiento médico. Son vulnerabilidades que tenemos como personas», explicó Denise Giusto Bilić, especialista en seguridad informática de ESET, a Otrawebdetecno. La mención a la emergencia sanitaria no es menor, ya que este tipo de delitos aumentaron notablemente. «La captación creció mucho con la pandemia, debido a la gran cantidad de trámites que ahora hay que hacer de forma online«, señaló Horacio Azzolin, titular de la Unidad Especializada en Ciberdelincuencia (UFECI).
Ya podemos intuir, a partir de lo dicho hasta acá, que cualquiera de nosotros puede ser víctima de estos engaños. No es necesario ser ni multimillonario ni famoso para que quieran acceder a nuestras cuentas. Azzolin lo especificó de esta manera: «Es falso que no nos quieran atacar. Todos somos potenciales víctimas: o por lo que tenemos (nuestra cuenta bancaria, nuestra tarjeta de crédito) o por lo que somos (usan nuestra identidad para defraudar a otros)».
En este sentido, la información que más suele captarse son datos financieros –como números de tarjeta de crédito, credenciales de acceso al homebanking o a billeteras digitales– y, últimamente, se sumaron datos personales como fotografías de personas (generalmente en formato selfie) o de sus documentos de identidad –ya que con el número de DNI y el número de trámite se pueden realizar, valga la redundancia, muchos trámites online). También son codiciados los accesos a redes sociales y correo electrónico. Detrás de esto, por supuesto, hay un negocio. Giusto Bilić precisó que todas nuestras cuentas tienen un precio: vender un pack de 100 cuentas, a 10 dólares por usuario, representan USD1000; si consideramos que muchas campañas son masivas (es decir que se envían a millones de personas), la cifra puede ascender rápidamente.
¿Cómo detectar una campaña de phishing?
Espero que, a esta altura, estés convencido de que es importante que nos cuidemos para evitar dolores de cabeza (más o menos graves, dependiendo el caso). Antes de los consejos, la especialista de ESET advierte algunas cuestiones. Primero, que los usuarios hogareños suelen ser blanco de campañas masivas, genéricas, pero localizadas por país o por pertenencia a una entidad. Los datos que generalmente se usan para contactar a los usuarios son obtenidos a partir de bases de datos construidas con fugas de información. Sin embargo, existe también el phishing apuntado a usuarios específicos donde el atacante realiza un paso previo de recolección de información de su víctima, para personalizar el mensaje y lograr su objetivo. Esto suele suceder en el ámbito corporativo, con trabajadores que tienen cargos altos o acceso a áreas sensibles de la empresa.
En segundo lugar, es preciso tener en cuenta que el engaño puede provenir de diversos canales: correo electrónico, redes sociales, grupos de Facebook, de WhatsApp, SMS y hasta llamadas telefónicas. «Hay muchas estrategias y hay mucho trabajo detrás de esto», afirmó la experta. Toda esa dedicación hace que algunas de las herramientas que teníamos como usuarios para detectar estafas (como el uso de HTTPS, la gramática y ortografía o el dominio desde donde provienen los emails) ya no sean tan efectivas.
De todas formas, ¡a no desesperar! Ambos especialistas reunieron algunos tips para tener en cuenta:
- Prestá atención a los correos o mensajes que te lleguen. Es recomendable preguntarse qué es lo que nos solicitan, por qué y (en muchos casos) a qué se debe tanta urgencia. Tengamos en cuenta que las empresas no solicitan datos sensibles por las vías de contacto que mencionamos más arriba. Además, desconfiá de los mensajes que buscan generarte pánico (del tipo «Su cuenta está a punto de ser bloqueada. Ingrese aquí para evitarlo») o de los sorteos y regalos extremadamente generosos. Si algo es demasiado bueno (o demasiado malo) para ser verdad, usualmente no lo es.
- Si tiene un enlace al que hay acceder, no hagas clic. Muchas veces, los estafadores colocan un link para restablecer contraseñas o enviar la información solicitada que nos lleva a una página falsa, aunque muy similar a la original. Es preferible abrir una nueva pestaña y tipear la URL de la entidad que nos contactó, o revisar el certificado de seguridad del sitio (apretá el candado verde y controlá que la adquisición de dicho certificado no sea reciente).
- No descargues archivos adjuntos a menos que sepas qué contienen.
- Si el correo viene de parte de un banco, una dependencia gubernamental o una empresa de servicios, antes de enviar tus datos podés optar por contactarlos a través de sus canales de atención al cliente, para corroborar si el mensaje es legítimo.
- Actualizá todos tus sistemas operativos y navegadores.
- Activá el doble factor de autenticación. Esto te ayudará a detectar intentos de inicio de sesión y te hará ganar tiempo para cambiar credenciales de acceso. No es infalible pero está cerca: un estudio de Google de 2019 indicó que puede bloquear el 99% de los ataques de phishing.
- Evitá brindar datos sensibles para trámites que no lo requieran (como reservas en restaurantes que piden fotos de tarjetas de crédito o empleados de mensajería que toman imágenes del DNI para entregar un pedido).
- Prestá atención a los gastos y movimientos que aparezcan en tus cuentas y tarjetas. De esta forma podrás detectar si aparecen compras (por más pequeñas que sean) que no hiciste y, en ese caso, denunciarlas a la entidad bancaria. En línea con esto, para compras online es recomendable usar crédito en vez de débito, ya que es más fácil desconocer un gasto en el primero a denunciar que te vaciaron la cuenta en el caso del segundo.
¿Y si igual completamos los formularios y dimos nuestros datos? En este caso, Azzolin recomienda, en principio, reportarlo en la Agencia de Protección de Datos Personales de nuestra provincia. Además, «si entregamos fotos de nuestro DNI podríamos evaluar pedir una renovación para anular el que fue captado ilegítimamente, ya que de esta manera no debería servir para hacer ningún trámite. Y, por último, si los datos son usados en nuestra contra, hacer la denuncia en la comisaría más cercana», concluyó.
¡Hola! ¿Tenés un momentito más?
Antes de irte, quería contarte que, si lo que acabás de leer te pareció interesante o te sirvió de algo, podés colaborar con Otrawebdetecno invitándome un cafecito. El aporte mínimo es de $50 y es por única vez (no es una suscripción). Los contenidos del blog son y seguirán siendo gratuitos pero tu aporte irá a parar a la alcancía que lo mantiene online. Si no podés o no tenés ganas, ¡no pasa nada! Con solo compartir me ayudás un montón. Gracias 🙂
Otrawebdetecno 
[…] Imagen 1: [Redes sociales que hacen uso de los datos personales]. (s. f.). https://miracomosehace.com/detectar-perfiles-falsos-redes-sociales/ Imagen 2: [Robo de identidad en redes sociales]. (2020, 6 octubre). https://otrawebdetecno.com/2020/10/26/que-es-el-phishing-y-como-evitarlo/ […]
Me gustaMe gusta
[…] No sigas enlaces que te lleguen por email o WhatsApp, o que veas en anuncios. Es aun más probable que sean links falsos que busquen robar tus datos (el viejo y querido phishing, sobre el que podés leer más acá). […]
Me gustaMe gusta