Cómo reconocer una ciberestafa bancaria y evitar que te roben el dinero

El phishing es una de las principales amenazas a las que hace frente el usuario en la red. Para no caer en la trampa, y evitar perder el control de datos personales o las claves del banco, es importante saber cómo funcionan las campañas en las que se utiliza

Ejemplo de un mensaje SMS en el que se hace «phishing» OCU

23/10/2020
Actualizado 26/10/2020 a las 15:03h.

Los cibercriminales no atacan por amor al arte ; sino buscando algún tipo de beneficio económico. Independientemente de que secuestren a una empresa con un virus de tipo « ransomware », o de que intenten engañar a los usuarios para que revelen sus credenciales ... de la banca online . Algo bastante habitual en las amenazas de tipo « phishing », en las que los delincuentes suplantan a un tercero, como podría ser una empresa conocida o una entidad bancaria, y emplean ingeniería social para que el internauta entregue, sin darse cuenta, sus datos personales: contraseñas, número de tarjeta bancaria o claves de acceso , entre otras cosas.

Este tipo de estafas son bastante habituales y suelen realizarse a través de c orreo electrónico, páginas web maliciosas o mensajes de tipo SMS o WhatsApp . Hace apenas unas semanas la Oficina de Seguridad del Internauta (OSI), dependiente del Instituto Nacional de Ciberseguridad (INCIBE), detectó una campaña en la que los atacantes suplantaban a Banco Santander o Bankia para aumentar las posibilidades de que los usuarios piquen el anzuelo. Y este es solo un ejemplo de tantos.

Desconfía

Como se ha dicho, los cibercriminales emplean varios medios para conseguir que los usuarios revelen sus datos bancarios sin ser conscientes. También tienden a suplantar a empresas conocidas , como Amazon , y a entidades bancarias para mejorar sus posibilidades.

En conversación con ABC, José de la Cruz , director técnico de la firma de ciberseguridad Trend Micro en España, afirmaba hace unos meses que el primer paso para protegeres del «phishing» es desconfiar por sistema de las comunicaciones en las que se solicita cualquier tipo de información bancaria: «Es muy importante utilizar el sentido común. En el caso de las estafas que tratan de robar la cuenta del banco del usuario, hay que saber que los bancos no entran en contacto con el cliente por medio de correos electrónicos o vía SMS para pedirle sus credenciales. Es algo muy raro. Yo diría que no ocurre con ninguna entidad».

Fíjate en los detalles

Según se recoge en el reciente informe Brand Phishing de la firma de ciberseguridad Check Point, el medio más empleado por los cibercriminales para lanzar ataques de tipo «phishing» es el correo electrónico con un 44% de los casos. Muy cerca, con un 43%, se encuentran las ciberestafas a través de páginas web maliciosas .

Estas dos técnicas, como explicaba recientemente a este diario el director técnico de Check Point para España y Portugal, Eusebio Nieva , muchas veces se complementan: «Para robar contraseñas, lo más habitual es que los ciberdelincuentes falsifiquen la página web de una empresa conocida, para que la víctima ingrese sus credenciales sin darse cuenta. Para infectar con virus un dipositivo, se suele emplear el correo electrónico; donde puedes insertar ficheros dañinos».

Las ciberestafas bancarias más sofisticadas suelen comenzar con un correo electrónico en el que los atacantes suplantan a una empresa conocida con la que es bastante probable que el usuario tenga contratado algún tipo de servicio. Dicho email suele ir acompañado por un mensaje llamativo y un hipervínculo , que puede iniciar la descarga de un archivo malicioso en el que se aloja un virus capaz de robar información, o bien, redirigir a la víctima a una página web diseñada para hacerse pasar por la oficial de la compañía que supuestamente ha realizado la comunicación.

Página web maliciosa que se hace pasar por la oficial de Caja Rural OSI

Allí los cibercriminales suelen solicitarle al usuario una gran cantidad de información personal. Desde los datos de la tarjeta de crédito hasta las claves para acceder al la banca online. Cabe recordar que este proceso se puede realizar suplantando a una entidad bancaria o a una empresa como Netflix, Spotify o Amazon. Con las que es posible que el usuario tenga contratado un servicio, por lo que, en un primer momento, puede resultar normal que se solicite este tipo de información.

Página web perteneciente a una campaña de «phishing» en la que los cibercriminales se hacían pasar por el Banco Santander OSI

Ingeniería social y errores ortográficos

Las ciberestafas por correo electrónico suelen compartir una serie de características que pueden ayudar al usuario a reconocerlas. Una de las más habituales es el empleo de ingeniería social en el asunto y en el texto que acompaña al mensaje. De este modo, las campañas de «phishing» suelen «advertir» a la víctima de supuestos bloqueos de cuentas, errores al realizar algún tipo de pago o fallos de seguridad que pueden haber comprometido algún servicio. Es decir, cosas que llaman la atención y causan en el internauta cierta sensación de urgencia.

Un correo de «phishing» en el que los atacantes se hacen pasa por Caja Rural OSI

Para descubrir si se trata de una comunicación verídica, también es importante fijarse en el dominio desde el que se envía el correo y ver si corresponde con el oficial de quien, supuestamente, ha contactado. Otra cosa que suelen tener en común las ciberestafas son los errores ortográficos y de redacción . Asimismo, existen casos en los que la comunicación se realiza en un idioma que es distinto al del usuario, algo que, en función de quien sea el tercero, podría no tener ningún sentido.