THE OBJECTIVE
Consumo

Phishing, smishing y vishing, tres maneras cotidianas de timarte

Las redes sociales y Whatsapp han relegado al correo electrónico, al SMS y al teléfono a un segundo plano, pero los tres siguen siendo soportes de fraudes

Phishing, smishing y vishing, tres maneras cotidianas de timarte

El phishing, smishing y vishing son tres maneras cotidianas de timarte. | Andrea Ronchini (Zuma Press / ContactoPhoto)

Antes de que se impusieran las redes sociales y WhatsApp, el viejo correo electrónico se había consolidado como primer soporte digital también para que intentaran timarnos. Igual escribía una rusa que prometía amor eterno, que te mandaban una carta nigeriana con el desarrollo de toda una película dirigida a conseguir dinero.

Más de dos décadas después, lejos de quedar desfasados por la llegada de otras plataformas más avanzadas y atractivas, estos intentos de fraude por email han aumentado y se han perfeccionado mucho, y eso es porque el correo electrónico sigue compensando a los ciberdelincuentes.

Ocurre lo mismo con los mensajes por SMS y el teléfono de toda la vida. Por ellos no pasan los años. Como se han impuesto WhatsApp o Telegram, el SMS se asemeja ahora al buzón de casa: ha quedado para publicidad y recibos. Pero también para algunas comunicaciones de interés, como la cita para la vacuna contra la covid-19, sin ir más lejos. Así que si recibes un SMS, quizás sea importante. Igual que si te llaman con un número desconocido.

Correo electrónico, SMS y teléfono componen una terna de veteranos soportes donde los intentos de fraude están a la orden del día, y además han propiciado prácticas delictivas con nombres cuya única vocal es la I y se repite: phishing, smishing y vishing. Las tres tienen en común que se sirven de grandes entidades a las que suplantan para tratar de engañar al sufrido usuario hasta que consiguen hacer caja a su costa. Nada que, por otra parte, no pueda ocurrir también a través de WhatsApp, Telegram o Facebook.

Phishing, fraudes por email

Quien no ha recibido por email una presunta comunicación -por no decir falsa- de Bankia, Santander, La Caixa, BBVA o cualquier otro banco, con el asunto «tienes un reembolso» o «pago pendiente». Te lo mandan con sus logos oficiales, pero con una URL que no es del banco aunque lo parezca. Ocurre igual con Correos y «tienes un paquete» o «debes pagar el almacenaje»; compañías energéticas como Endesa o Iberdrola, cadenas de alimentación como Dia y Mercadona; la Seguridad Social, la DGT, la Agencia Tributaria… Todas se ven suplantadas con correos electrónicos casi siempre alarmantes que conducen a webs fraudulentas, a veces idénticas a las originales. Allí, con cualquier excusa, piden datos personales hasta llegar a los bancarios con el objetivo de utilizar a demanda la información personal de sus víctimas -que también llegan a vender- y saquear sus cuentas. En ocasiones, además, si se descarga y ejecuta algún adjunto, tu dispositivo puede quedar inutilizado.

Estos emails fraudulentos han pasado de ser burdas imitaciones con una ortografía lamentable que ya les retrataba, a comunicaciones que pueden hacer dudar. Pero en realidad es fácil identificar su verdadera procedencia. Lo más práctico es acudir al remitente, cuya URL suele delatarles. Si no figura visible, aparecerá al dar a «responder», pero no respondas. A veces imitan las URL originales, no siempre, y también pueden escribirte, aparentemente, desde tu propio correo electrónico, que es otra práctica en auge.

Ante la duda…

Si contacta contigo BBVA, quiere algo de ti y tú no tienes cuenta en ese banco, tendrás claro que el email es falso. Por eso suplantando a entidades que nos afectan a todos amplían mercado. Impone más leer «Agencia Tributaria» en el email y que te informen de una deuda o una «multa de tránsito sin abono» de la DGT, pero estas entidades no realizan ese tipo de comunicaciones por email y tampoco utilizan palabras como «tránsito», más propia de Latinoamérica, o frases como “paga tu multa”. El email puede llegar desde cualquier lugar del mundo.

En caso de duda, lo más efectivo es contactar con la entidad que presuntamente te ha escrito a través de sus canales oficiales y nunca seguir las instrucciones, porque no conducirá a nada bueno. Lo mejor es obviar el email y eliminarlo. Fin del problema. El phishing es una práctica habitual, se va renovando con los años y es imposible detenerla. Los ciberdelincuentes pueden estar en cualquier parte tranquilamente, desaparecer sin dejar dejar rastro, echar el cierre a ese fraude en cualquier momento e iniciar el mismo con otras referencias y otras víctimas. El phishing es también una práctica evidente para millones de usuarios del clásico email, que lo detectan rápido y lo obvian, pero está aún por descubrir para otros cuantos millones más incautos.

Smishing, el SMS existe

El smishing es una forma de phishing que en lugar de valerse del correo electrónico se sirve de mensajes SMS. El planteamiento y el objetivo son los mismos: suplantar a entidades importantes para conseguir información personal de sus víctimas y aligerarles la cuenta bancaria. Aunque WhatsApp, sobre todo, y Telegram han relegado al SMS a buzón de publicidad y facturas, el hecho de que también lleguen por SMS algunas comunicaciones de interés por parte de distintas administraciones, lo hace más atractivo.

Como por SMS se comunica, por ejemplo, la cita para recibir la vacuna contra la covid-19, eso ha dado pie a que también se envíen SMS con el mismo asunto que no son legítimos y conducen a webs fraudulentas. Estos SMS también emplazan a pinchar un enlace o a descargar algún archivo. Lo que quieren es que acabes en el sitio adecuado para aportar tu información personal y la solución ante estos mensajes es la misma que para los emails: ante la duda, contactar con la entidad que se cita a través de sus canales, y nunca seguir los pasos que marcan, obviar el SMS y eliminarlo.

Vishing, quién no lleva un móvil

El vishing es otra práctica delictiva similar a las anteriores pero a través llamadas telefónicas. El interlocutor suplanta la identidad de una empresa y se presenta como un empleado. Puede ser una ONG, una gran compañía o incluso una persona de confianza, pero siempre en busca información personal de las víctimas. La Oficina de Seguridad del Internauta (OSI) desvela que su modus operandi se divide en dos pasos.

Primero, «el atacante debe haber obtenido información confidencial sobre su víctima, como su nombre y apellidos, el correo, domicilio, parte de los datos de su tarjeta de crédito, etc». Esto lo obtiene gracias a otros ataques previos sobre sus víctimas, como el phishing. Una vez obtenida esta información, «es el momento de realizar una llamada telefónica al cliente», haciéndose pasar por su banco, una empresa de mensajería o un servicio técnico para utilizar la información anterior y que la víctima confíe en él. Un señuelo habitual es ofrecer una devolución, para lo cual necesitan que aportes el número de tu cuenta bancaria o de tu tarjeta de crédito.

En cualquier soporte 

En realidad, estas imprevisibles llamadas deberían ser fácilmente identificables, porque tu banco u otro servicio de confianza ya disponen de toda la información que necesitan para realizar trámites. Así que, ante cualquier llamada de este tipo es básico no compartir dato alguno y menos contraseñas o tarjeta de crédito, aunque pidan solo que confirmes datos que supuestamente ya tienen. Ante la sospecha de que una llamada puede tratarse de vishing, lo mejor es cortar la comunicación y bloquear el número.

Cualquier soporte, clásico o novedoso, es susceptible de incluir información falsa, timos y fraudes de toda condición. La novedad abre la veda, pero en las plataformas más consolidadas se maneja un amplio negocio fraudulento que continúa funcionando. La OSI, del Instituto Nacional de Ciberseguridad (Incibe), alerta habitualmente de estas y otras acciones delictivas que pueden salir caras, de cómo evitarlas y de cómo resolver los problemas de seguridad que puedan surgir al navegar por Internet y mares circundantes.

Publicidad
MyTO

Crea tu cuenta en The Objective

Mostrar contraseña
Mostrar contraseña

Recupera tu contraseña

Ingresa el correo electrónico con el que te registraste en The Objective

L M M J V S D