Guía de cómo enfrentarse al ‘phishing’

INCIBE advierte a los autónomos de un nuevo ciberataque que suplanta la identidad de la Seguridad Social

El Instituto Nacional de Ciberseguridad (INCIBE) ha detectado llamadas a autónomos y negocios suplantando la identidad de la Seguridad Social, en las que se les solicita un código o acceso a un enlace que han recibido a través de SMS o llamada telefónica. 
Programas de apoyo para emprender en ciberseguridad
Cómo protegerse del 'phishing'
INCIBE advierte a los autónomos de un nuevo ciberataque que suplanta la identidad de la Seguridad Social

La suplantación de identidad o ‘Phising,’ es el delito electrónico por el cual se engañan a los usuarios para que compartan información confidencial. Amenaza que, por lo general, busca obtener contraseñas, tarjetas de crédito y  otros datos personales susceptibles de fraude. En este sentido, el Instituto Nacional de Ciberseguridad (INCIBE) detectó llamadas y mensajes de texto a autónomos y pequeños negocios en los que los delincuentes se hacían pasar por la Seguridad Social.

Ante ello, tanto el organismo como la Policía Nacional advierten de un mensaje de texto que llega a los dispositivos móviles de los trabajadores por cuenta propia donde los delincuentes invitan acceder a la ‘Comunicación anual de vida laboral en la Sede Electrónica de la Seguridad Social’. A través de un enlace fraudulento, los ciberdelincuentes obtienen los datos de afiliación a la SS, DNI e incluso aquellos relacionados con la tesorería.

Asimismo, el organismo público señaló otros dos fraudes a través del teléfono móvil y correo electrónico. Por un lado, en una llamada se le envía al trabajador por cuenta propia un código de verificación para recibir la tercera dosis de la vacuna contra el coronavirus. Sin embargo se trata de un código que permite al infractor poder iniciar sesión de WhatsApp en otro dispositivo y así robar la información personal del autónomo.

En una segunda instancia, el organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital, advierte de un ‘phishing’ que suplanta la identidad de Correos. A través de un mensaje el delincuente envía acceso a un supuesto ‘chatbot’ o chat de texto para confirmar la entrega de un paquete. De este modo, el chatbot realiza preguntas a la víctima, de manera similar a una encuesta y, para finalizar, se ofrece al usuario o empresario un teléfono móvil por el precio de 1,50 euros. Para adquirirlo, deberá facilitar sus datos personales y los de su tarjeta de crédito.

Si algún autónomo o pequeño negocio ha sido víctima de estos fraudes o de algún otro, INCIBE ofrece un teléfono de atención para protegerse de los peligros de la red, además de atender vía Whatsapp o Telegram: 017.

Guía de cómo detectar y enfrentarse al ‘phishing’ o suplantación de identidad

A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. En este sentido, este ciberataque no busca romper ni acceder a tu ordenador, sino que sea el propio usuario el que le de los datos que necesita sin ningún tipo de acción técnica.

¿Cómo identificar un ataque de ‘phishing’?

Según Malwarebytes, reconcer un ataque de ‘phishing’ no siempre es sencillo. La empresa de software antivirus recomienda a los autónomos y emprendedores confiar en su intención  y no “dejarse llevar” por algo raro o inusual en su correo electrónico o dispositivo móvil. Por ello, la empresa de software enumera algunas de las señales a tener en cuenta cómo intento de ‘phishing’:

  • El correo electrónico, llamada o mensaje de texto hace una oferta demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro o alguna otra cosa con un valor muy elevado.
  • En el caso de que el emprendedor reconozca al remitente, pero habitualmente no tenga contacto con él puede tratarse de otro caso de fraude. Especialmente cuando el contenido del correo o mensaje no tiene nada que ver con las responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamento con los que no tiene relación.
  • Otro tipo de fraude puede resultar si el contenido suena alarmante o aterrador para crear un sentido de urgencia, instándole al autónomo a que haga clic y “actué ahora” antes de que “se elimine su cuenta”. Es importante destacar que las organizaciones nunca solicitan estos detalles personales a través de Internet.
  • Los autónomos nunca deben abrir un mensaje que contenga archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener algún tipo de virus o alguna otra amenaza online que puede afectar nuestros dispositivos.

¿Cómo protegerse del ‘‘phishing’?

Como se ha indicado previamente, el ‘phishing’ es una amenaza que ofrece “igualdad de oportunidades”, capaz de aparecer en ordenadores de escritorio, portátiles, tabletas y teléfonos móviles. La mayoría de los navegadores de Internet disponen de formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es el buen criterio de usuario.

En este sentido, Kujawa propone algunas de las prácticas más importantes para mantenerse a salvo:

  • No abrir correos electrónicos de remitentes que no le sean familiares.
  • No hacer clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
  • Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
  • Busque el certificado digital del sitio web.
  • Si el corre pide que proporciones información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
  • Finalmente, si sospechas que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévalo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.

Estos son los tipos de ataques más frecuentes

A pesar de sus muchas variedades, el denominador común de todos los ataques de ‘phishing’ es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

Spear ‘phishing’

Mientras la mayoría de las campañas de ‘phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correos electrónicos y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Según ejemplifica  Malwarebytes, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor del negocio.

‘Phishing’ de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

‘Phishing’ telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o ‘vishing’, el atacante llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Asimismo, el ‘phishing’ vía SMS, o ‘smishing’, es muy similar al ‘vishing’, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

Algunos antivirus gratuitos que recomiendan los expertos para los autónomos

No obstante, la mejor protección para los autónomos y negocios es disponer de un buen sistema de seguridad que garantice la protección de los dispositivos informáticos. De este modo, los trabajadores por cuenta propia deben considerar como prioritario proteger todo el contenido digital, como un cambio regular de sus contraseñas, no acceder a enlaces desconocidos y contar con un antivirus que les avise en caso de amenaza. A continuación desglosamos un listado de los antivirus gratuitos que distintos portales web especializados en tecnología recomiendan para proteger nuestros ordenadores:

  • Avira Antivirus: Según PC World, portal especializado en tecnología informática, este antivirus es uno de los más recomendados por los expertos por su facilidad de uso, su diseño sencillo y gran rendimiento. Entre sus herramientas se incluyen el detector de páginas web poco fiables y una opción para bloquear la publicidad y así evitar que rastreen tu información online.
  • Bitdefender: Con una gran reputación en el sector de los antivirus, su versión gratuita ofrece un servicio básico recomendado para cualquier ordenador.
  • Kapersky: Otro de los antivirus con renombre en el mundo de la protección informática que recientemente ha lanzado su versión gratuita para PC.
  • AVAST: Avast ofrece una protección  básica contra amenazas desconocidas, además de un gestor de contraseñas.
  • AVG: AVG estará en funcionamiento mientras llevas a cabo tus tareas sin que te des cuenta, apenas notarás su existencia y al mismo tiempo estarás protegido.
  • Microsoft Windows Defender: Windows Defender viene integrado en Windows 10 y Windows 8. Es posiblemente la opción más práctica para gran parte de los usuarios ya que su funcionamiento es automático, a no ser que lo hayas deshabilitado o que hayas instalado otro sistema antivirus.