Este documento tiene como objeto dar a conocer las diferentes técnicas utilizadas en los ataques de Phishing, y así dotar a los usuarios de la capacidad de identificarlos, para así protegerse del robo de su información personal, datos bancarios y credenciales de acceso a distintas plataformas.
El término Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta, como puede ser una contraseña, información bancaria u otra información personal de la victima. El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial, por lo general utilizando el correo electrónico o mensajería instantánea.
Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita exclusivamente al correo electrónico, sino que también es posible realizar ataques de phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como vishing.
El impacto generado por un phishing conlleva pérdida de productividad y de reputación, así como pérdidas económicas para los usuarios y las compañías.
Existe una amplia variedad de técnicas que los phishers utilizan para lograr la obtención de información de sus víctimas. Aunque siempre hay indicadores y formas de identificar los casos de phishing, muchas veces no es fácil discernir cuándo un mensaje es legítimo y cuándo se trata de un phishing.
¿Cómo detectar un correo electrónico sospechoso?
Algunos correos electrónicos de estafas pueden resultar muy convincentes gracias al uso de logotipos de marcas y un lenguaje formal. Recuerde detenerse siempre que en un correo le inciten a tomar medidas inmediatas que podrían revelar información privada. Busque estas señales de advertencia en el correo para saber si se trata de una estafa:
Las fuerzas de seguridad provinciales, integran el Sistema de Seguridad Interior, por adhesión que a través de la ley 10.869 (modif. 13.003) realizó la Provincia de Santa Fe a la Ley Nacional Nro. 24.059. Como tal le son aplicables las normas contenidas en el Código de Conducta para Funcionarios Encargados de Hacer cumplir la Ley (Adoptado por la Asamblea General de Naciones Unidas en el año 1979) y los Principios Básicos sobre el Empleo de la Fuerza y las Armas de Fuego por parte de los Funcionarios encargados de hacer cumplir la ley (Adoptados por el Octavo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente en 1990).-
- El nombre del remitente es vago y su dirección de correo es larga o complicada.
- El asunto del correo es alarmista o busca llamar la atención.
- El correo incita a algún tipo de acción inmediata
- .Se ofrece un gran descuento como incentivo.En el correo se utilizan pretextos para conseguir sus datos personales, incluida la información de inicio de sesión de algún sitio web.
- En el correo se le incita a hacer clic en un hipervínculo sin aclarar adónde lleva.
- Muchos correos de estafas y de phishing hacen referencia a ofertas que son demasiado buenas para ser ciertas» – «Otras veces intentan engañar a los usuarios para que hagan clic en un enlace con textos como ‘haga clic para ganar’ o ‘Bono Gratis a su disposición’
Una vez que haya identificado el correo como estafa:
- No haga clic en ningún archivo adjunto, ya que se podría instalar malware perjudicial.
- No haga clic en ningún enlace, sobre todo si en el mensaje le incita a abrir una página y dar sus datos.No responda al correo sospechoso ni emplee el número de teléfono u otros datos de contacto que figuren en él.
- Fíjese bien en la dirección de correo del remitente y en las direcciones web que contenga el mensaje para ver si difieren del nombre oficial de la empresa o del remitente.
- Si está usando la cuenta de correo del trabajo, contacte con el equipo informático. Quizás quieran que les reenvíe el correo, pero pregunte primero.Si está usando el correo personal y recibe un mensaje donde le aseguran que una empresa necesita comunicarse con usted urgentemente, puede llamar o contactar usted mismo buscando los datos correspondientes en Internet o en una factura antigua.
- No utilice los datos de contacto proporcionados en el correo sospechoso.Si ya ha respondido a un correo sospechoso, ha hecho clic en un archivo adjunto o un enlace, o ha facilitado información personal, avise al equipo informático de su empresa (si está en el trabajo) o entre en https://www.argentina.gob.ar/denunciar-un-delito-informatico.
- Aquí encontrará las medidas concretas que debe llevar a cabo según la información que haya facilitado.Utilice la autenticación de dos factores en su programa de correo electrónico. También conviene que cambie la contraseña de correo y otras contraseñas relacionadas. Algunas plataformas de correo electrónico personal permiten denunciar el phishing.
Recuerden: En momentos de distanciamiento social preventivo y donde los trámites online son casi imprescindibles, son las personas con menos experiencia las que pueden caer en este tipo de estafas. Ayuden a familiares y amigos, especialmente a los adultos mayores, a navegar con seguridad verificando siempre la URL antes de ingresar cualquier dato sensible (usuarios, contraseñas, etc.)
- Denuncien cualquier página de phishing usando los siguientes formularios: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=es https://www.antiphishing.com.ar/es-ar/denunciar/
*Rodrigo Alvarez. Analista Criminal, especialista en delitos Informáticos. Coordinador Regional de Argentina Cibersegura. Investigador en el Departamento de Análisis Digital Forense – Agencia de Investigaciones Criminal de la provincia de Santa Fe.