Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Boletín núm 118: Qué es el phishing, cómo identificarlo y cómo evitarlo

Introducción

El phishing es un término inglés referido a un tipo común de ciberataque dirigido mayoritariamente a las personas mediante correo electrónico, mensajes de texto, llamadas telefónicas y otras formas de comunicación, que busca engañar al destinatario de la comunicación con el objetivo de que este haga alguna acción encaminada a revelar datos personales, bancarios, credenciales de acceso y cualquier otra información sensible que el ciberdelincuente pueda usar para lucrarse o provocar un daño.

 

Ingeniería social

Este tipo de ciberataque en la actualidad es uno de los tipos más populares de los llamados de ingeniería social ya que se aprovechan de la manipulación psicológica y el engaño, y abusan de la buena fe y el desconocimiento de los usuarios.

 

Estos ciberataques ya son tan comunes que los ciberdelincuentes pueden poner en circulación mensajes con facilidad, la mayoría de las veces en forma de correo electrónico, y suplantar la identidad de empresas y organizaciones. En estos mensajes principalmente solicitan al usuario que acceda a un enlace o se descargue algún tipo de fichero malicioso.

 

Tipos más comunes de phishing

Como ya hemos dicho, los mensajes de phishing pueden suplantar a cualquier tipo de empresa o servicio. En la actualidad los casos más frecuentes son los siguientes:

  • Phishing bancario: se suplanta a una entidad financiera legítima y se intenta obtener información del usuario mediante excusas como bloqueos de la cuenta o cargos.
  • Phishing a entidades públicas: se suplanta a entidades y organismos públicos a través del correo electrónico con cualquier pretexto, como una devolución de impuestos o multas de tráfico.
  • Phishing a entidades privadas: se capta la atención de los usuarios con asuntos y mensajes que apelan en muchas ocasiones a los sentimientos.

 

Suplantando a empresas o servicios en las que los usuarios confían o por medio de mensajes que puedan provocar una alteración del estado de la persona se consigue que el usuario realice la acción pretendida y se obtienen claves de acceso e información confidencial. Además, los ciberdelincuentes también pueden instalar programas maliciosos para acceder remotamente a los dispositivos de los usuarios y cometer las acciones con las que lucrarse o provocar daños.

 

Características para identificar y evitar el phishing

Si se tienen en cuenta estas características se pueden identificar los mensajes de phishing y mantener a salvo la información.

  • El remitente es desconocido o, en caso de estar asociado a una empresa u organización, tiene algún error de escritura.
  • Frecuentemente el texto tiene errores gramaticales y ortográficos.
  • Se reclaman datos que no son frecuentes, como contraseñas, PIN, DNI, etc.
  • Contienen enlaces a páginas web falsas o maliciosas o archivos adjuntos con malwares o virus.
  • Normalmente son mensajes con urgencia, con el fin de tomar medidas rápidas y no razonadas para que no dé tiempo a la persona a fijarse en las acciones que está realizando.

 

Con el fin de evitar ser víctima de un ciberataque se pueden realizar las siguientes acciones y así impedir que los ciberdelincuentes se aprovechen de nuestra información.

  • No abra correos que no haya solicitado o en los que no conozca al remitente. Elimínelos y bloquéelos.
  • Nunca conteste a este tipo de correos ni proporcione información personal.
  • Mantenga actualizados los dispositivos y programas.
  • Antes de proporcionar cualquier información confidencial verifique quien le ha enviado el mensaje.
  • No clique en enlaces que le hayan facilitado sin verificar el sitio web.
  • No descargue ficheros adjuntos si desconfía ya que podrían ser maliciosos y contener malware.
  • Utilice software de seguridad actualizado, como un antivirus, para protegerse.
  • Active la autenticación de dos factores siempre que un servicio en línea lo permita.

 

Víctima de phishing

Si desafortunadamente ha sido víctima de phishing debe realizar una serie de acciones para evitar daños mayores.

  • Modifique las contraseñas de las cuentas que haya proporcionado y también de las cuentas que usen la misma información.
  • Escanee su dispositivo con un antivirus si ha clicado en un enlace o se ha descargado un archivo que desconoce.
  • Si ha facilitado datos bancarios es muy importante que lo comunique a su entidad bancaria de inmediato.

 

Además, vigile regularmente la información propia que circula en internet con el fin de controlar la información sobre usted y también ejercer sus derechos si encuentra datos que se están usando sin su consentimiento. También es muy importante compartir toda la información y experiencia con los familiares y amigos a fin de ayudarles a evitar caer en las mismas trampas.

 

Recursos e información adicional

Para obtener mas información sobre el phishing y las acciones de ingeniería social puede acceder a los siguientes recursos del Instituto Nacional de Ciberseguridad (INCIBE):