Campañas de ‘Phishing’: ¿Cómo nos protegemos de los fraudes en internet

follow
Pablo F. Iglesias

Por Pablo F. Iglesias

Experto en Ciberseguridad

Un apasionado de la tecnología, con más de diez años de experiencia en el desarrollo, marketing y la ciberseguridad.

Javier Camacho

Investigadora de seguridad y periodista

ACTUALIZADOS: 24 febrero 2021

En Internet hay fraudes. Obvio.

Como en el mundo real. Donde hay negocio, hay intereses encubiertos y personas sin escrúpulos que anteponen sus intereses a los del resto, no teniendo problema en engañar para obtener el fin buscado, que por regla general es conseguir mayores beneficios.

Esto es así, y pensar que lo vamos a cambiar con políticas o con buenrollismo, es pecar de ingenuos. Y como veremos a continuación, en el mundo digital por muy segurizados que tengamos los sistemas informáticos, de poco servirá, ya que buena parte de los fraudes y campañas de phishing más activas no se encargan de comprometer la seguridad de nuestros dispositivos, sino atacar al eslabón más débil de la cadena, que no es otro que el ser humano.

Así, año tras año vemos cómo las principales amenazas tanto para organizaciones como particulares no son los mal llamados virus, sino, como decíamos, las campañas de phishing.

companas de phishing

Campañas que tienen como objetivo o bien robar datos privados de la víctima, o bien incitarle a que instale o abra un archivo que ejecute el malware, para luego, con el dispositivo ya infectado (no porque en efecto el dispositivo fuera vulnerable, sino porque es el propio usuario quien ha decidido instalarlo), robarle datos, extorsionarle, etc etc etc.

Así pues, la primera parada es entender qué es una campaña de phishing, y sobre todo cómo podemos identificarlas. Y para ello me voy a basar en nuestra teoría de los 3 elementos que delatan a las campañas de phishing. Una metodología que se aplica en apenas unos segundos una vez la tienes interiorizada, y que como su propio indica, te va a quitar de caer en fraudes en un 95% de las veces.

¿Qué es una campaña de phishing?

Básicamente una campaña de phishing no deja de ser el nombre técnico que tienen la amplia mayoría de fraudes en Internet.

Mediante una campaña de phishing, lo que se busca es engañar a la víctima para que haga algo que para ella será negativo (descargue y abra un documento, meta sus datos en una página falsa, pague por un producto en una tienda fraudulenta, nos envíe dinero mediante una extorsión…).

En su día expliqué cómo funcionan algunos de estos timos en la red… hablando directamente con los cibercriminales, y siguiéndoles el juego. Si quieres pasar un buen rato y ver cómo fue mi amorío con la Capitana Griest del ejército de EEUU, te invito a que eches un ojo a este artículo.

Hoy, sin embargo, vamos a centrarnos en otro tipo de campañas de phishing. Las que se hacen pasar por un servicio o persona conocida para engañarnos, habitualmente vía email, aunque esto mismo puede aplicar a redes sociales o servicios de mensajería instantánea.

Este ejercicio es, de hecho, uno que les ponemos a nuestros alumnos de los talleres de ciberseguridad.

Les enseñamos tres emails distintos, con los que pueden toquetear todo lo que quieran, y únicamente nos tienen que decir si están ante un email legítimo, o ante un fraude.

Ya te digo que la mayoría no consigue identificarlos todos.

Y esto se debe a que el grueso de la sociedad no sabe qué elementos hacen de un email algo legítimo o un mero fraude.Vamos a ver entonces qué tres elementos delatan a una campaña de phishing de un email (o mensaje privado en redes sociales, o publicidad falsa…) a otro contenido legítimo.

campaña de phishing de un email
Email que recibía hace ya unas cuantas semanas, supuestamente de mi proveedor de hosting

El gancho de las campañas de phishing

Como puedes ver en la imagen superior, a mi correo me llegó un email con el asunto:

[mi correo] buzón está casi lleno!!

En él me mostraban el logotipo de webmail, que prácticamente utilizamos todos los que tenemos un dominio corporativo, y una imagen que aseguraba que de los 20GBs que tengo de espacio, ya tenía ocupados algo más de 18, dándome la opción de aumentar otros 5GBs de forma gratuita.

Aquí tenemos el gancho típico: nos ofrecen algo que es realmente bueno para nosotros con un coste marginal (en este caso gratis). Exactamente igual que aquella otra campaña en la que había ganado un smartphone y tenía que pagar para que me lo enviaran simplemente 1 euro.

Y como ocurre con cualquier fraude, algunos puntos de los mencionados podrían ser ciertos:

  • Parece un email automático enviado por el webmail de nuestro hosting. Cosa que, como ya dije, podría ser real, ya que la mayoría de hostings te avisarán con un email parecido cuando tengas la bandeja de entrada a punto de colapsar.
  • Pone el límite en 20GBs: Que es, por regla general, una cuota de almacenamiento bastante habitual en este tipo de servicios de correo.

Te alerta de las consecuencias de no tomar acción: Si nuestra bandeja de correo llega al límite, ya no recibiremos emails. Y en este caso, para evitar que llegues a esto, ya te avisan de que van a reducir la capacidad de recibir algunos correos (los pesados) automática e inmediatamente. Lo que de nuevo te fuerza a que realices la acción oportuna (otra de las típicas estrategias de cualquier campaña de fraude: la urgencia).

phishing email
Estos dos campos resaltados en la imagen son críticos para saber si estamos ante un fraude o un correo legítimo

Revisar el remitente

Lo primero que hay que hacer si tenemos duda de que en efecto se trate o no de un email legítimo, es revisar quién nos lo ha enviado.

Y con esto me refiero a ver la información de envío, no a quedarse únicamente con el nombre que aparece como remitente, que en este caso era «Email Service Provider». Digo esto porque este es un campo que cualquiera puede modificar, y en vez de haber puesto estro, podrían haber colocado ahí una dirección de email «[email protected]» para aparentar que el correo se envía desde Google.

La realidad, en este caso, es que el correo se está enviando desde radmadengines.com. Una web que ni existe, y que por supuesto no tiene nada que ver con mi actual hosting.

Además, una búsqueda rápida en Google por el nombre de dominio me lleva a una página de análisis de malware que la marca como potencialmente dañina (ES).

En este punto ya deberíamos saber que se trata de una campaña de phishing. Pero es cierto que si los ciberatacantes hubieran hecho bien los deberes, puede que incluso estos datos se hayan modificado para que aparente que en efecto el correo proviene de mi proveedor real de hosting.

A este tipo de ataques se les conoce como email spoofing, y aunque ya no son tan comunes (difícilmente se pueden automatizar, y por tanto son más utilizadas para campañas de ingeniería social dirigida a empresas en particular), nos obligan a que sigamos mirando el resto de elementos delatores de las campañas de phishing.

ataques se les conoce como email spoofin
Pasando el ratón por encima de la URL enlazada, vemos que lleva a una página que no es de nuestro proveedor de dominio

¿Ese enlace o documento es legítimo?

Si tanto por el tema tratado, como por los datos del remitente no estamos aún seguros de si estamos o no ante alguna de estas campañas de phishing, lo siguiente que tenemos que hacer es revisar qué nos pide.

Y la amplia mayoría de campañas de fraude nos van a pedir:

  • O entrar en una página: Como es este caso, para poder activar esos supuestos 5GBs extra de regalo para nuestra bandeja de entrada.
  • O abrir un documento: Donde está esa factura o albarán que nos tenían que enviar.

Vamos a ver cada caso por separado.

Cómo identificar un enlace malicioso

La forma más rápida que tenemos de identificar un enlace malicioso si estamos en un dispositivo de escritorio es pasar la flecha del ratón por encima de la URL, para que abajo nos muestre hacia dónde nos dirige… ¡sin clicar!

Sobra decir que no recomiendo que pinchemos en estos enlaces, ya que además de intentar robarnos, puede que carguen código de malware que infecte nuestros dispositivos.

Y, por cierto, que en este caso podemos ver cómo esta campaña de phishing está colgada con el candadito de «página segura». Como ya expliqué en su día, el SSL, que es como se llama a ese candadito, solo nos informa de que la información se tratará de forma cifrada, pero ni mucho menos nos asegura de que se la estamos enviando a un servicio legítimo.

Yo para preparar este tutorial lo he hecho pero desde un navegador con todo desactivado.

En este caso, como vemos por la imagen de arriba, nos lleva a una web creada en el servicio de almacenamiento de Google, y que por tanto no tiene nada que ver con mi proveedor de correo.

Eso sí, se han encargado de copiar la interfaz del servicio(que es genérica y es por tanto usada por muchísimos hosting distintos) para que parezca que estamos ante la web correcta. Sin embargo, si en ese apartado de contraseña escribo la de mi correo, ya puedes tener por seguro que esos datos pasarán a estar en manos de los ciberdelincuentes, que luego los utilizarán para intentar entrar en mis cuentas.

De hecho algunas de estas campañas están diseñadas para que, tan pronto metas los datos, te redirija a la web correcta, de forma que haya veces que incluso el usuario ni se entera de que ha sido víctima de un fraude. Una de las 7 maneras más habituales de ofuscar URLs de campañas de phishing. En el resto de casos, simplemente la web te mostrará un error o te dirá, como ocurría con esta campaña, que ya habían activado los 5GBs extra.

campaña de phishing está colgada con el candadito de «página segura»
En esta campaña de phishing, me llevaban a una web subida al servicio de almacenamiento de Google con una interfaz copiada de roundcube

Cómo identificar un archivo malicioso

En otras ocasiones, en vez de instarnos a entrar en una URL, lo que hacen es adjuntar un documento que debemos abrir con cualquier excusa: «por aquí tienes la factura o albarán que me pediste», «aquí está el listado de ganadores…»

Lo mejor que podemos hacer en este caso, ya que por supuesto si lo abrimos lo más probable es que venga con algún tipo de virus, es descargarlo y subirlo (¡SIN ABRIRLO!) a VirusTotal (ES), que es un servicio web gratuito que analizará el contenido del mismo comparándolo con varios proveedores de antivirus, para decirnos si potencialmente ve o no peligro en él.

Además, la mayoría de estos documentos maliciosos son en formato Word (.doc, .docx…) o PDF, y la ventaja de esto es que las nuevas versiones de Microsoft Word abren por defecto todo documento descargado de Internet sin cargarle sus componentes web. Lo que hace que por ejemplo no funcionen las macros, que es normalmente el vector de ataque principal de las campañas de phishing.

Cómo evitar la mayor parte de las campañas de phishing de forma sencilla

Hay una manera extra de evitar tener que hacer todas estas comprobaciones con la amplia mayoría de servicios.

Y esa manera es utilizando GSuite o GMail como proveedor de correo.

Que ojo, yo no me llevo comisión por recomendarlos ni nada por el estilo. Simplemente es que en todos estos años he visto cómo en las empresas en las que he implementado GSuite, se han evitado hasta el 99,9% de las campañas de phishing.

Es más, este correo que he utilizado yo de ejemplo me llegó realmente a mi bandeja de spam en GMail. He tenido que yo, proactivamente, decirle a Google que era seguro (me lo marcaba muy acertadamente como peligroso), y sacarlo de la carpeta de spam para poder ver el enlace (en dicha carpeta es que ni podía ver la imagen y mucho menos el enlace).

Google, o si prefieres Outlook/Microsoft por dar otra opción de la competencia, son de los mejores servicios en cuanto a calidad precio para proteger nuestros activos organizacionales.

Muchísimo más baratos en todo caso, y encima más seguros, que montarse uno mismo un sistema de seguridad con IDEs, cortafuegos y demás dentro de la propia infraestructura de nuestra empresa. Ya ni hablemos para uso personal.

Así que lo dicho. Por aquí mi recomendación sobre cómo identificar este tipo de campañas de phishing, y qué recomendaría para evitarlos casi por completo.

Cómo te puedes proteger de las estafas en línea

Identificar un correo electrónico de Phishing es más difícil de lo que solía ser ya que los hackers han perfeccionado sus habilidades y se han vuelto más sofisticados en sus métodos de ataque. Los emails de Phishing que recibimos en nuestra bandeja de entrada cada vez están mejor escritos, son más personalizados, contienen los logotipos y el idioma de las marcas que conocemos y están diseñados de tal manera que es difícil distinguir entre un correo electrónico oficial y un correo electrónico Phishing.

Por eso te recomendamos que siempre te fijes en los siguientes detalles:

proteger de las estafas
  • Dirección URL

Una de las primeras cosas que debes verificar en un correo electrónico sospechoso es la validez de su URL. Si colocas el cursor sobre el enlace sin hacer clic en él, debería ver aparecer la dirección con el hipervínculo completo. Aunque parezca perfectamente legítimo, si la URL no coincide con la dirección que se muestra es una indicación de que el mensaje es fraudulento y posiblemente sea un correo electrónico de Phishing.

  • El correo electrónico solicita información personal

Piénsalo bien, ¿tu crees que una empresa reputada enviará un correo electrónico a sus clientes solicitándoles datos personales como su contraseña, PIN, número de cuenta o preguntas de seguridad? Si recibes un correo electrónico con estas características, no lo contestes. Bórralo y ponte en contacto con la institución usando tu vía de comunicación normal para verificar el envío de ese email solicitando datos personales.

  • Errores gramaticales

Usualmente los delincuentes digitales no se ciñen a un país en concreto sino que actúan en varias regiones del mundo a la vez para lograr una mayor rentabilidad antes de que su ataque de Phishing se de a conocer entre los internautas.

Esto hace que los hackers tengan que traducir a otros idiomas y la calidad de su ortografía y gramática no sea igual que la de un nativo. Las empresas oficiales y acreditadas no suelen cometen este tipo de errores ya que antes de enviar el correo electrónico a los clientes hay un redactor que se encarga de revisar que la gramática y ortografía son correctas.

Por eso, si adviertes un mensaje o email con errores gramaticales u ortográficos muy evidentes que además te pide información confidencial, posiblemente te encuentres ante un ataque de Phishing ya que no es muy probable que provenga de un organismo oficial.

  • Tono de urgencia

Una estrategia común de Phishing consiste en fomentar una sensación de miedo o urgencia para que el usuario se de prisa en hacer clic en un enlace. Por ejemplo, se puede recibir un email que diga nuestra “seguridad se ha visto comprometida y se requieren medidas urgentes para remediar la situación”. Otro ejemplo muy común son esos mensajes que comienzan diciendo: «intento de inicio de sesión no autorizado» o “su cuenta ha sido suspendida«. En estos casos, es mejor usar el sentido común y ponerse en comunicación directamente con la empresa usando su número de teléfono o accediendo a través de su página web oficial. 

  • Correo electrónico inesperado

Otra técnica de Phishing muy popular consiste en comunicarse con el usuario diciéndole que ha ganado un premio en un sorteo (al cual ni siquiera se había registrado) o que ha ganado una competición de la que nunca había oído hablar antes. De nuevo, la mejor manera para no caer en la trampa es usar el sentido común: si es demasiado bueno como para ser verdad, probablemente no sea verdad.

  • Remitente no oficial

Fíjate en la dirección de correo electrónico del remitente, ¿te parece la oficial o incluye más palabras, números o símbolos que le restan oficialidad? En esta situación lo mejor es acudir a la página web oficial del organismo y contrastar las direcciones de correos electrónicos antes de seguir con las indicaciones del posible correo Phishing.

En el caso de los teléfonos móviles posiblemente el número no aparezca en la agenda de contactos. Sin embargo, también es posible que recibas un mensaje demasiado extraño de un contacto animándote a realizar una acción (como por ejemplo seguir un enlace o descargar un archivo); en estos casos es mejor verificar la información con el remitente.

Ejemplos de Phishing en España

No pienses que por ser un término anglosajón este crimen es ajeno a nuestro país. De hecho, si te pones a revisar los correos electrónicos recibidos en tu bandeja de entrada y de spam durante los últimos 15 días, con toda seguridad aparece algún correo sospechoso, ¿verdad? 

Para que seas consciente de este delito digital en España que puede afectar a cualquier internauta de nuestro país, hemos seleccionado algunos de los casos de Phishing más relevantes de los últimos tiempos en nuestro país:

¿Quieres saber cuáles son las empresas que normalmente usan los delincuentes digitales para suplantar su identidad y cometer fraudes en España? Según un informe elaborado por Kaspersky Lab, se trata de entidades bancarias como BBVA, Bankia, ING y Caja Rural, y otras empresas que ofrecen diferentes servicios como Correos, PayPal y Netflix.

Este mismo informe coloca a España en el Top 10 de los países con mayor porcentaje de usuarios atacados por Phishing ya que en el ranking del 2019 nuestro país estaba en novena posición. Pero los datos del 2020 solo empeoran la situación ya que España escala posiciones hasta situarse como el sexto país con mayor ataques de Phishing en todo el mundo (15,85%). En este informe de Kaspersky por delante de España se encontraban Grecia, Venezuela, Brasil, Australia y Portugal.

Este malware se emplaza en el dispositivo del usuario después de haber sido instalado a través de un inofensivo correo electrónico, como por ejemplo de una cadena comercial muy conocida. A continuación el virus es capaz de grabar la pantalla del usuario en un momento delicado: cuando está viendo pornografía. El virus activa las grabaciones de la pantalla cuando aparecen palabras de índole sexual. Después esta información se utiliza para sextorsionar al propietario del dispositivo, al cual se le pide cierta cantidad de dinero para no publicar esa información entre sus contactos. 

  • Los criminales cibernéticos hasta se hacen pasar por la Agencia Tributaria para lograr su objetivo. Hacienda ha repetido una y mil veces que la Agencia Tributaria NUNCA solicita información confidencial por correo electrónico, pero esto no evita que los delincuentes traten de sacarle provecho a internautas ingenuos o que no están al tanto de este pequeño gran detalle.

En este caso también se sigue el método tradicional de Phishing: el usuario recibe un correo electrónico que parece de la Agencia Tributaria en el que se le informa que debe enviar ciertos datos personales y bancarios (como claves y números) para solventar una situación delicada (e irreal) a la mayor brevedad posible.

Desafortunadamente, durante la última campaña de la renta decenas de españoles fueron estafados por estas estrategias de Phising tanto por correo electrónico como por mensaje SMS.

Según la investigación policial, las tarjetas se utilizaron par sacar dinero en efectivo de cajeros, para comprar criptomonedas como bitcoins y para comprar diferentes productos de consumo.

  • Según el Instituto Nacional de Estadística, en el 2019 20 millones de españoles hicieron compras online, lo que indica que el comercio electrónico no para de crecer y todavía no ha alcanza su techo. Como la mayoría de los internautas españoles utiliza su tarjeta de débito o crédito para pagar sus compras en línea, los ciber delincuentes siempre están al acecho para tratar de conseguir información confidencial sobre los usuarios y sus tarjetas y cometer algún tipo de fraude online o físico. De hecho, en la actualidad la mayoría de los fraudes con tarjeta no se deben a su robo o pérdida sino a su copiado o duplicación.

En un informe del 2018 el Banco de España indicaba que durante ese año en nuestro país se dieron 1 millón de operaciones no autorizadas con tarjetas, correspondiendo el 64% a fraudes online (en total ese año se defraudaron hasta 88 millones de euros).

Uno de los métodos de Phishing que utilizan los criminales online para hacerse con los datos de tu tarjeta consiste en enviarte un correo electrónico simulando ser un empleado de tu banco de confianza. En este email te pueden decir, por ejemplo, que para prevenir un acceso no autorizado a tu cuenta o una compra online sospechosa necesitas verificar ciertos datos personales y/o bancarios. ¡Pero revisa muy bien todos los datos del correo electrónico ya que no es muy habitual que tu entidad bancaria te solicite unos datos tan confidenciales de una manera tan poco segura!

  • El timo de Whatsapp. En febrero del 2020 la Guardia Civil alertó a los ciudadanos españoles de una nueva de estafa que usaba el servicio de mensajería Whatsapp para su propagación. El usuario recibía un mensaje que decía “Hola. Lo siento, te envié un código de seis dígitos por SMS por error, ¿me lo puedes pasar? Es urgente”.

El objetivo de este mensaje, que podía llegar de uno de nuestros contactos, era suplantar la identidad del usuario ya que si se seguían las instrucciones dadas, se daba el acceso a una tercera persona para que controlara la cuenta del dispositivo móvil y toda la información que hay en ella.

  • Muchos usuarios de Apple se sienten más seguros ante los ataques Phishing ya que piensan que su sistema operativo es mágico y los va a proteger de este tipo de ataques online. Sin embargo, este exceso de confianza tiene una fundamentación errónea. Es cierto que hay menos ataques a dispositivos iOS que Android ya que éste último sistema es el que utilizan más personas y por lo tanto simplemente por probabilidad, los delincuentes digitales centran más sus ataques en los dispositivos Android. 

Pero esto no quiere decir que los aparatos de Apple eviten completamente el Phishing, de hecho según Kaspersky solo durante el primer semestre del 2019 detectaron hasta 6 millones de ataques a ordenadores Mac que estaban protegidos por este proveedor de servicios. 

  • Incluso con el grave problema del Coronavirus en todo el mundo, algunos criminales online quisieron “hacer su agosto” con esta situación. El estado de alarma que provocó la propagación del Covid-19 en nuestro país hizo que los internautas estuvieran buscando constantemente las últimas noticias sobre esta problemática, hecho que aprovecharon los ciber delincuentes para tratar de sacarle rendimiento a la emergencia sanitaria que vivieron los españoles.

La plataforma de noticias Buzzfeed comunicó que el gancho era un email de la Universidad de Vanderbil con el título “Resultados de la prueba” que enviaba a compañías de seguros y farmacéuticas. Al descargar el archivo adjunto se le daba acceso al malware conocido como “Koadic” que es un troyano que puede acceder de manera remota al dispositivo del internauta sin que el usuario se diera cuenta.

Otras campañas de Phishing que se han denunciado en diferentes partes del mundo relacionadas con la pandemia del Coronavirus han sido correos electrónicos falsos de la Organización Mundial de la Salud (OMS) o de instituciones gubernamentales de China y Estados Unidos que pedían a los usuarios ciertos datos para poder acceder a una supuesta información de seguridad.

Asimismo, la necesidad de trabajar de manera remota tampoco ha pasado desapercibida para los criminales digitales, quienes se hacían pasar por empleados del departamento de recursos humanos de cierta compañía para robar información personal a los internautas ya que confiaban en que simplemente era un paso más para poder trabajar desde casa.

Y esta lista podría llegar a ser interminable ya que los delincuentes online aprovechan cualquier oportunidad para pillar desprevenidos a los internautas y robar información personal o secuestrar los archivos de sus dispositivos para pedir un rescate por ello. Por ello siempre hay que estar prevenidos ya que un ataque de Phishing, como hemos visto, puede provenir de diferentes fuentes que en principio parecen confiables.

Qué hacer si eres víctima de una campaña de Phishing

Lo primero que puedes hacer para evitar consecuencias negativas de un ataque de Phishing es hacer que no ocurran, es decir, prevenir el Phishing. Si sigues estos consejos de manera habitual tendrás más probabilidades de evitar ser objeto de un fraude o estafa por Phishing.

  • Si el correo electrónico incluye un enlace sospechoso y además tampoco confías mucho en el remitente del email, no sigas sus indicaciones. Probablemente habrá información relacionada con la urgencia de tomar una decisión lo antes posible; como que tu cuenta bancaria ha sido hackeada o que tu tarjeta de crédito ha registrado una compra no autorizada por ti. Pero si presionas el enlace que se muestra en el email puedes abrir la puerta a una infección en tu dispositivo. Recuerda que una empresa de confianza nunca te pediría información tan delicada de una manera tan poco profesional.
  • Si tienes una empresa, ofrece formación adecuada a tus empleados para saber cómo detectar emails de Phishing. Como ya hemos comentando los hackers tratarán de atacar al eslabón más débil de la organización con acceso a los sistemas informáticos de la compañía. Si alguno de tus empleados cae en la trampa del Phishing, podrá poner en riesgo todos los activos de la empresa e incluso llevarla a la quiebra dependiendo de cómo se gestione la situación. Por eso es mejor ofrecer una formación tecnológica inicial a cada empleado que trabaje de manera rutinaria con los sistemas tecnológicos de la compañía.
  • Pon atención a lo que compartes en las redes sociales. En la actualidad es posible que las redes sociales sepan más de ti que tu propia pareja… Solo ten en cuenta todos los detalles que compartes a diario sobre tu trabajo, familia, aficiones, eventos, vacaciones, etc. Consciente o inconscientemente, los internautas compartimos mucha información personal que un ávido hacker no dejará pasar por alto para conseguir una víctima nueva.

No nos olvidemos que internet es una gran fuente de información para todo tipo de delitos y que gracias a la información que se comparte con este recurso se han planeado crímenes tan graves como secuestros y homicidios.

  • Verifica la seguridad de la página web. Antes de ingresar cualquier información en una página web verifica que el sitio es seguro y está protegido. Para ello puedes fijarte en la URL del sitio web. Si empieza con «https» en vez de «http» significa que el sitio está protegido con un Certificado SSL. Estos certificados aseguran que toda la información que se comparta estará protegida según al transferirse del navegador al servidor del sitio web. También debe haber un pequeño icono de candado cerca de la barra de direcciones que indica que la página es segura.
  • Instala un programa antivirus. Muchos programas de software antivirus también incluyen aplicaciones que previenen de los correos spam que se envían durante las campañas de Phishing.

Es muy importante asegurarse que el software se actualiza frecuentemente para estar seguros de que los hackers no tienen acceso al dispositivo por posibles vulnerabilidades o programas obsoletos. 

Es cierto que la sofisticación de los ciberdelincuentes en la actualidad es tan alta, que en ocasiones por muy preparados y prevenidos que estemos al final cometemos algún error. En el caso de que ya sea demasiado tarde y hayas compartido información personal o descargado software dañino, puedes hacer lo siguiente para disminuir las consecuencias:

  • Escanea tu dispositivos

Para estar seguro de que tu dispositivo se infectó con malware que puede estar espiando tu actividad o recopilando tus datos y comunicaciones, deberías escanear tu dispositivo para encontrar los ficheros dañinos, eliminarlos y contralar la infección lo antes posible.

  • Notifica el problema

Por un lado debes comunicar el problema a cualquier parte afectada. Por ejemplo, en el caso de que la información de tus contactos también se haya visto comprometida; o que la estafa haya provenido de un email que parecía de tu banco para comunicarlo a tu entidad bancaria. 

Si es necesario, denuncia el hecho ante la Policía o Guardia Civil. No dudes en hacerlo, cada una de estas fuerzas de seguridad cuentan con departamentos específicos que se encargan de los delitos cibernéticos; entre los que se encuentra el fraude por Phishing.

También puedes usar ciertos foros especializados para advertir a otros internautas de tu experiencia y que tomen las medidas necesarias para que el problema no afecte a otros usuarios. 

  • Cambia tus contraseñas

Es fundamental que cambies tus contraseñas inmediatamente. El malware instalado puede interceptar rápidamente esta información, por lo que es mejor que prevengas cualquier imprevisto. Recuerda usar contraseñas únicas y complejas que usen diferentes símbolos, números y letras (mayúsculas y minúsculas).

Sobre el experto

Pablo F. Iglesias

Experto en Ciberseguridad

Mi nombre es Pablo F. Iglesias, y soy, ante todo, un apasionado de la tecnología, con más de diez años de experiencia en el desarrollo, marketing y la ciberseguridad.

Me gano la vida como Consultor de Presencia Digital y Reputación Online, aunque también he trabajado para otros (I+D de Telefónica, Mozilla, BBVA…). De hecho soy el presidente de la Consultora de Reputación Online CyberBrainers, y en todo este tiempo he sido fundador, co-fundador, vocal y vicepresidente de varias startups y asociaciones relacionadas con el mundo de la ciberseguridad, la transformación digital y el marketing.

Sobre el autor

Javier Camacho

Investigadora de seguridad y periodista

Javier Camacho Miranda es un comunicador social y docente de lengua castellana y literatura, con más de quince años de experiencias relacionadas a la escritura en diferentes vertientes.

Antes de convertirse en padre aún no conocía el mundo de los softwares de monitoreo legales y certificados. En sus palabras, antes de preocuparse por la seguridad de su hija después de regalarle su primer smartphone y caer en cuenta de todos los peligros que la acechaban en internet, pensaba “que las habilidades de intervenir un móvil estaban solamente al alcance de los hackers”.

Cuenta con una fuerte pasión por la tecnología, entre otras cosas, y la misma le ha permitido concentrarse actualmente en la redacción sobre aplicaciones espía y otras fuentes relacionadas a diferentes innovaciones tecnológicas.