Reconocer un email de phishing?
El phishing es una técnica fraudulenta destinada a engañar al internauta para que comunique datos personales haciéndose pasar por un servicio conocido o un familiar. Aunque los intentos de phishing están cada vez mejor ejecutados, un correo electrónico de phishing suele presentar señales de alarma que pueden detectarse: oferta tentadora, sensación de urgencia, aspecto sospechoso, archivo adjunto inesperado, dirección de envío ficticia...
¿Cómo detectar un correo electrónico de phishing?
Aunque los emails de phishing están diseñados para ser casi idénticos a los correos electrónicos que suplantan, a veces es posible detectar las señales de un intento de phishing. Aunque el phishing adopta muchas formas, suele haber indicadores similares. He aquí una lista no exhaustiva.
Si detecta una o varias de estas señales de advertencia, y si tiene alguna duda, póngase en contacto con el remitente a través de otro canal para verificar que el mensaje procede efectivamente del remitente y que no se trata de un correo electrónico de suplantación de identidad y robo de identidad.
Para denunciar el correo electrónico de phishing a la Unidad de Ciberseguridad y a Microsoft para que se tengan en cuenta mensajes similares en futuros recibos, existe un botón de "Informar sobre correo de phishing" en la barra de herramientas de Outlook de la universidad.
1 - Una notificación de su correo electrónico o software antivirus
Su cliente de correo electrónico o software antivirus (como Sophos) pueden alertarle de la recepción de un correo fraudulento. No ignore su advertencia y asegúrese regularmente de que su antivirus está activado y actualizado.
2 - Un correo electrónico de un servicio o empresa de la que usted o la universidad no son clientes.
Los ciberdelincuentes no suelen tener acceso a las bases de datos de usuarios de las empresas que suplantan y a veces envían sus correos electrónicos de phishing de forma aleatoria. Si recibe un correo electrónico de un servicio o empresa de la que no es cliente. Tenga cuidado, un ciberdelincuente también puede dirigirse a los clientes reales. Los ciberdelincuentes no suelen tener acceso a las bases de datos de usuarios de las empresas que suplantan y a veces envían sus correos electrónicos de phishing de forma aleatoria. Si recibe un correo electrónico de un servicio o empresa de la que no es cliente, de un servicio o empresa, ya sea porque ha conseguido enviar su mensaje de phishing a los clientes del servicio suplantado por casualidad en un envío masivo, o porque ha conseguido recuperar una base de datos de direcciones de clientes del servicio en cuestión. (pirateados o comprados en el darkweb)
3 - Phishing de correo: un nombre de remitente inusual
Recibir un mensaje inesperado de una dirección de correo electrónico inusual, que no conoces o que no está en tus contactos, debería despertar tu atención, incluso si parece legítimo. Si la dirección de correo electrónico del remitente te parece sospechosa, hazte las siguientes preguntas:
- ¿Conoces al remitente?
- ¿Es posible que el remitente le esté enviando un mensaje?
- ¿El contenido del mensaje va realmente dirigido a usted?
- ¿Le dice algo el asunto?
Si se trata de un correo electrónico de phishing enviado a escala industrial, efectivamente estará muy poco personalizado.
4 - Dirección de envío falsa
La mayoría de los correos electrónicos de phishing utilizan direcciones de correo electrónico que no parecen direcciones oficiales. Para verificar que se trata de un mensaje oficial, compruebe la dirección de correo electrónico del remitente
. Si no incluye el nombre de la entidad, tiene faltas de ortografía o el nombre parece sospechoso, no abra el mensaje. Probablemente se trate de un correo electrónico fraudulento.5 - Un asunto demasiado atractivo o alarmista
El asunto de un correo electrónico de phishing suele ser breve y busca atraer a la víctima para que abra el mensaje. Una línea de asunto burlona o alarmista -como "reembolso" o "alerta de seguridad"- transmite una inusual sensación de urgencia.
6 - Apariencia sospechosa
Cada día se crean nuevas estafas de phishing y los ciberdelincuentes son cada vez más creativos a la hora de desarrollar esquemas innovadores. Aunque los métodos utilizados son cada vez más sofisticados, muchas estafas de phishing por correo electrónico tienen un aspecto sospechoso debido a la falta de información sobre la cultura corporativa por parte del grupo de hackers. Imágenes y logotipos de mala calidad, antiguos, borrosos, distorsionados, pixelados o distantes pueden indicar que se trata de capturas de pantalla o elementos extraídos de sitios web oficiales. Lo mismo ocurre si el mensaje parece legítimo pero su aspecto es anticuado (logotipo desfasado). En general, si notas alguna diferencia entre el aspecto del correo electrónico que recibes y el de tus correos habituales, ten cuidado. Puede haber errores, pero estas anomalías deberían alertarte de que puede tratarse de un correo electrónico de phishing.
7 - Falta de personalización
Por lo general, los correos electrónicos oficiales que le envían mencionan su nombre, pero el phishing "barato" consiste en enviar el mismo correo electrónico de phishing a escala industrial de forma despersonalizada a una gran base de datos de direcciones de correo electrónico. Si el mensaje no menciona su nombre o utiliza una frase vaga como "Estimado cliente preferente", tenga cuidado.
8 - Una solicitud inusual
Conocer la dirección de correo electrónico del remitente no es un criterio de confianza absoluto: el ciberdelincuente puede haber robado la dirección de correo electrónico de un provedor o de un servicio conocido. ¿Notas alguna incoherencia, en la forma o en el contenido, entre el correo electrónico que recibes y los que el remitente suele enviarte? Presta atención a los elementos sospechosos, especialmente si el mensaje contiene un enlace en el que se puede hacer clic, un archivo adjunto o te solicita información.
9 - Solicitud de información confidencial
Como norma general, las solicitudes de información personal - datos de acceso, datos bancarios, etc.- nunca deben hacerse por correo electrónico. Ninguna entidad gubernamental, profesional o de otro tipo tiene derecho a pedirte por mensaje el código de tu tarjeta de crédito o claves de acceso personales. No comunique nada confidencial por escrito, aunque proceda de un remitente que dice ser alguien conocido.
10 - Un mensaje burlón o preocupante
Un correo electrónico de phishing suele anunciar una oferta, un reembolso o una ganancia inesperada. ¿Acaba de ganar un gran premio aunque no haya jugado y no sea cliente de la empresa que supuestamente le ha enviado el mensaje? Probablemente se trate de un intento de phishing. Un correo electrónico fraudulento también puede indicar una necesidad urgente o una amenaza inminente que requiere una acción inmediata, como el cierre de su cuenta si no actúa de inmediato. Al precipitar a sus víctimas, los ciberdelincuentes intentan desestabilizarlas y hacer que tomen decisiones equivocadas.
11 - Phishing por correo: errores sorprendentes en español
Preste atención a la calidad del texto del correo electrónico. Los correos electrónicos de phishing suelen contener erratas, faltas de ortografía o errores gramaticales. Los errores de redacción, las traducciones erróneas o la sintaxis inusual en las comunicaciones oficiales también deberían alertarle. Algunos textos de phishing proceden del extranjero y se traducen mediante programas informáticos, lo que puede explicar giros inusuales y caracteres acentuados transcritos incorrectamente. Sin embargo, con el tiempo, el nivel de español en los intentos de phishing es cada vez mejor. Así que mantente alerta.
12 - Una invitación a hacer clic en un enlace o en un archivo adjunto
Un correo electrónico de phishing suele intentar que la víctima haga clic en un enlace. Aunque el enlace parezca redirigir a la página oficial de un sitio, llevará a la víctima a una página fraudulenta que se parece mucho al sitio oficial. Antes de hacer clic, recuerde comprobar la dirección de los sitios web mencionados. Para ello, sitúe el cursor del ratón sobre el enlace ofrecido sin hacer clic para que aparezca el enlace completo y la dirección a la que conduce realmente. ¿Es ésta la dirección oficial del sitio web anunciado en el mensaje? Si la dirección no es la misma, está mal escrita, no le resulta familiar y el enlace parece sospechoso, puede tratarse de un intento de phishing. Lea atentamente los enlaces antes de hacer clic. A veces, un solo carácter puede cambiar en la dirección del sitio para engañarle. Para comprobar que la dirección es exactamente la misma que la de la página oficial de acceso, vaya directamente al sitio web de la organización en cuestión introduciendo manualmente su dirección en el navegador.
Un correo electrónico de phishing también puede incitarle a abrir o descargar un archivo adjunto (una imagen, un archivo de audio o vídeo, un documento PDF, un archivo adjunto HTML, etc.). Por tanto, evite hacer clic en archivos adjuntos que no esperaba, enviados por remitentes desconocidos o dudosos. Una vez abierto, el archivo adjunto puede redirigirle a un sitio fraudulento en el que se le solicite información confidencial o incluso instalar un virus en su ordenador o teléfono.
El caso de los ataques de spear phishing o phishing dirigido:
El spear phishing es una forma personalizada de phishing que utiliza técnicas avanzadas de suplantación de identidad y de ingeniería social para garantizar que el asunto y el contenido del correo electrónico sean totalmente coherentes con la empresa de la víctima. Este tipo de correo electrónico de phishing sofisticado se hace pasar por una persona física o jurídica conocida con el fin de engañar al destinatario para que abra un archivo adjunto fraudulento o haga clic en un enlace malicioso. Mediante esta operación, el ciberdelincuente puede infiltrarse en el dispositivo de la víctima e incluso en el sistema de información de la organización.
Ejemplos de correos electrónicos que deberían alertarle
La mayoría de las estafas de phishing por correo electrónico pueden clasificarse en varias categorías. He aquí los ejemplos con los que es más probable que se encuentre en caso de correo electrónico fraudulento:
- Una solicitud de actualización o confirmación de datos personales -datos de acceso, contraseñas, datos bancarios, etc.- por parte de un organismo público o comercial supuestamente de confianza, bajo pena de sanción.
- Impago o problema de facturación: un correo electrónico falso le informa de que no se puede enviar un bien debido a un problema de facturación o de que tiene que pagar una cantidad pendiente. Solicitud inesperada de información sobre un reembolso, la cancelación de un pedido, la entrega, etc.
- Solicitud de información a cambio de un regalo o para participar en un concurso con un premio atractivo, o para cobrar un premio en una lotería.
- Solicitud de pago para evitar el cierre del acceso, la pérdida de un nombre de dominio o el supuesto cumplimiento del RGPD.
- Petición de donaciones fraudulentas.
- Petición de ayuda: el ciberdelincuente se hace pasar por un familiar y le explica que se encuentra en una situación desesperada y necesita su ayuda económica.
- Correos electrónicos en cadena como amuletos de la buena suerte, pirámides financieras, llamamientos solidarios o alertas de virus pueden disfrazar un intento de phishing.
Ejemplos de identidades que pueden suplantarse
Dado que la suplantación de identidad es la base del phishing, los ciberdelincuentes no dudan en suplantar la identidad de organizaciones conocidas a la hora de enviar correos electrónicos fraudulentos.
- Administraciones como la Agencia Tributaria, la Seguridad Social, Aduanas, etc...
- Bancos
- Proveedores de energía
- Operadores de telecomunicaciones
- Redes sociales
- Servicios de correo electrónico y almacenamiento en la nube
- Sitios de comercio electrónico
- Empresas de reparto
- Sistemas de pago en línea