Los correos electrónicos fueron junto a los SMS las primeras vías de comunicación de la era digital. Como todos sabemos, son una forma popular de mantenerse en contacto con amigos, familiares o compañeros de trabajo. Aún así, no todo son ventajas. Recibimos cada día multitud de mensajes promocionales de marcas a las que nos hemos suscrito. El hecho es que nos pueden interesar o no, pero también existe lo que se conoce como “phishing”.
El “phishing” es un correo electrónico falso que se hace pasar por una entidad o marca para hacerse con nuestra información confidencial, como puede ser nuestro nombre, DNI, número de tarjetas de crédito, etc. En este artículo vamos a repasar algunos de los aspectos que tenemos que tener en cuenta para saber si los mensajes de correo electrónico que recibimos son legítimos o si se tratan de estafas que quieren hacerse con nuestros datos confidenciales.
Índice
¿Qué es el “phishing” y por qué tenemos que tener cuidado?
El phishing o suplantación de identidad es un término que define un modelo de abuso informático y que está caracterizado por intentar adquirir información confidencial de forma fraudulenta. Es llevado a cabo por un cibercriminal, conocido como phisher, que se hace pasar por una marca, persona o empresa de confianza mediante comunicación electrónica (correo electrónico, mensajería instantánea o incluso realizando llamadas telefónicas).
El que vamos a tratar es el tipo correo electrónico, el más utilizado por los phishers. El correo electrónico que recibimos como phishing contiene en su interior un enlace de una compañía legítima, de la que incluso podemos llegar a ser clientes. Al hacer clic en el enlace, accederemos a un aparente sitio real que nos pedirá nuestra información confidencial para poder robarla. Es muy fácil caer en la trampa, ya que el sitio web al que se nos redirige con el enlace es tan parecido al sitio web oficial del que se hacen pasar que a menudo caemos ingenuamente y ofrecemos nuestros datos confidenciales.
Los phishers realizan estos movimientos para todo tipo de propósitos; el más común es el robo de la identidad personal. Sin embargo, no hay por qué alarmarse: está claro que el phishing está cada vez más presente, pero hay varias formas de detectar un correo electrónico fraudulento. En un detallado documento, Apple explica algunas de las características más comunes en un correo de phishing. A continuación os las explicamos para que nunca más vuelvas a caer en la trampa de ofrecer tus datos personales a marcas o empresas falsas:
1. Averiguar de quién procede realmente el correo
Mira la cabecera del correo para comprobar dónde se originó el mensaje. O lo que es lo mismo, comprueba que el e-mail del destinatario coincide con la persona o entidad que te está enviado el mensaje. Una cabecera típica de correo muestra varias líneas que empiezan con “Recibido“. Fíjate en la última línea de “Recibido de“, que tendrá un aspecto similar al siguiente:
Received from genericwebsite.org (123.456.789.101)
Pongamos un ejemplo para determinar si el correo que has recibido es o no fraudulento. Si has recibido un correo electrónico de “La Caixa”, pero en la última línea de “Recibido” aparece el mensaje de “recevied from fakesites.org (123.456.789.120)”, es probable que se trate de phishing, ya que la información de “Recibido” no coincide con “fakesites.org”.
2. Cuidado con los enlaces del correo electrónico
Otro signo que puede alertarnos que estamos siendo víctimas de phishing es cuando un correo electrónico tiene enlaces en su contenido que informan de que nos llevan a un determinado sitio web, pero en realidad nos llevan a otro muy parecido. Podemos colocar el cursor sobre un enlace en un correo y nuestro ordenador mostrará automáticamente la dirección URL del mismo.
De esta forma, si el texto del correo dice “www.lacaixa.es” y en la información del enlace aparece, por ejemplo, “www.fake-site.org” (o cualquier otra cosa que no coincida con “www.lacaixa.es”), si hacemos clic nos dirigiremos a un sitio web falso que querrá obtener nuestra información confidencial para aprovecharse de ella. Si vemos que las URL no coinciden, mejor que evitemos hacer clic.
3. Comprobar la legitimidad del sitio web al que accedemos
Si creemos que la URL es legítima y accedemos a un enlace que contiene un correo electrónico, aún podemos comprobar si se trata de un sitio web de confianza. Las últimas versiones de la mayoría de navegadores web, como pueden ser Safari, Firefox o Chrome, tienen la capacidad de hacer una verificación para comprobar si el sitio web al que accedemos es o no verídico. Si el sitio web supera la Comprobación de validación ampliada (EV), el nombre del sitio web en la barra de URL se mostrará en color verde en lugar de negro. Lo puedes comprobar en un sitio web como iCloud, el cual aparece en verde:
4. Fíjate en el saludo del correo electrónico
Como la mayoría de grandes empresas a las que te has suscrito o de las que eres cliente cuentan con tu nombre en el registro, en los mensajes de correo electrónico que te mandan aparece tu nombre justo después del saludo. Por lo tanto, otra buena forma de no caer en el phishing es fijarse en el saludo. Los correos fraudulentos a menudo se refieren al destinatario con nombres genéricos como por ejemplo “Estimado cliente”.
Por tanto, si en un correo electrónico que aparentemente es de “La Caixa” ves cómo te saludan mediante un “Estimado cliente” y no por tu nombre, mantente alerta porque se puede tratar de una persona que se hace pasar por la entidad bancaria para robarte tu información confidencial.
5. El correo electrónico llega a una cuenta que no has ofrecido a la empresa
Si te has suscrito a una marca con un correo (e-mail A) y acabas de recibir un correo de esa compañía en otra cuenta de mensajería (e-mail B), tienes otra razón para desconfiar de ese correo. Puesto que no has dado tus datos a la empresa, ¿cómo pueden haber sabido que te estaban enviando un correo justo a ti? Si tú has dado los datos de un e-mail A, deben de llegarte correos electrónicos a esa cuenta y no a otra.
En resumen, si no puedes explicarte por qué un correo te ha llegado a una bandeja de correo electrónico que tú no has ofrecido, mantente al margen. Los correos electrónicos sólo deberían llegar a la bandeja de entrada de la dirección de correo correcta. Cualquier correo que termine en bandejas de entrada de otras de tus cuentas probablemente serán falsos y pueden estar tratando de robarte información.
Cómo protegerse de correos que consideramos phishing
Si recibes mensajes de correo electrónico como cualquiera de los anteriores, tendrás suficientes razones para creer que te están intentando robar información confidencial. Si recibes un correo electrónico de phishing, te damos algunas normas de seguridad que debes tener en cuenta:
1. Compara la información del nuevo correo electrónico con mensajes de correo anteriores
Si has recibido correos electrónicos legítimos de una entidad antes como “La Caixa”, debes comparar los datos de contacto reales con los que consideras phishing.
Por ejemplo, si has recibido un correo electrónico de “La Caixa” anteriormente, y el nuevo correo electrónico dice ser de “La Caixa” también, puedes comparar las direcciones de correo electrónico para ver si el remitente está viniendo de una dirección de “La Caixa” o no.
Aunque la suplantación de identidad es posible, ésta es una buena forma de verificar la identidad de la persona o empresa, debido a que los maleantes suelen enviar correos electrónicos desde su correo electrónico personal o desde un correo electrónico completamente diferente en lugar de tomarse el tiempo de simular correctamente las direcciones de correo electrónico.
Si recibes un correo electrónico que dice ser de “La Caixa” y es una cuenta @gmail, entonces, obviamente, sabe que algo pasa. También presta atención al idioma del correo electrónico, como también a la forma de cómo se dirigen a ti.
2. No proporciones información personal
A menos que hayas confirmado que la entidad que manda el correo electrónico es legítima, nunca debes proporcionar información personal a un correo electrónico que creas que se trata de phishing. Hablamos de información personal cuando hablamos de tu dirección, tus datos de tarjeta de crédito, tu número de seguridad social, tus contraseñas, tu estado civil, etc…
Por lo general, los mensajes legítimos nunca te pedirán información personal. Te enlazarán a un sitio donde tendrás que iniciar sesión con tu nombre de usuario y contraseña, pero si un correo electrónico te pide tu información de acceso a un servicio, no se debe dar, pues cabe la posibilidad de que el correo electrónico esté intentando robarte alguna cuenta.
También debes tener cuidado con los enlaces de estos correos electrónicos. Nunca inicies sesión en un sitio web sin antes asegurarte de que el sitio web es legítimo y no una buena copia. De hecho, en lugar de hacer clic en un enlace de un correo electrónico, es mucho más seguro abrir el sitio web en tu navegador web para conectarte.
3. No descargues ni abras archivos adjuntos
Si sospechas que un correo electrónico se trata de phishing, no descargues ni abras archivos adjuntos que puedan estar agregados al correo electrónico. Algunos de los archivos adjuntos pueden contener software malicioso, que podría espiar tus pulsaciones de teclas o robar contraseñas y otra información valiosa a medida que se introducen.
La mayoría de los correos electrónicos automatizados de empresas legítimas rara vez incluyen archivos adjuntos.
Qué hacer con los correos electrónicos sospechosos de iCloud
Una gran noticia es que Apple se preocupa por la seguridad de sus usuarios y ayuda a lidiar con correos electrónicos de phishing. Apple te ofrece la posibilidad de enviar un correo electrónico que consideres como phishing a la dirección de correo electrónico abuse@icloud.com. Debes seleccionar Reenviar como archivo adjunto en el menú Mensaje (OS X Mail) o el menú Acciones (Outlook).
En caso de correos electrónicos sospechosos relacionados con iTunes, la dirección de correo electrónico para informar a Apple es esreportphishing@apple.com.
Hay que tener en cuenta que la presentación de informes de mensajes legítimos no ayudará a la causa, por lo que debes informar solamente de aquellos correos de phishing que te resulten obvios.
Conclusión
No seas una víctima de phishing. Aunque muchos correos electrónicos de phishing son completamente obvios para algunos, puede que no sean tan evidentes para tu madre, tu abuela o alguna otra persona que no esté tan acostumbrada a lidiar tanto con las nuevas tecnologías como tú. ¡Corre la voz y mantén el sistema electrónico seguro para todos!