Phishing sobre la Renta
El miércoles pasado comenzó la campaña de la renta 2020 y, como viene siendo habitual todos los años, los ciberdelincuentes no han querido dejar pasar la oportunidad para hacer de las suyas.
El Instituto Nacional de Ciberseguridad (INCIBE) alertó sobre un malware que suplantaba a la Agencia Tributaria a través de un correo con el asunto “Acción fiscal” para robar información sensible de los usuarios.
Se trata de una campaña de phishing, es decir, una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial. A continuación compartimos las recomendaciones de la compañía de seguridad Avast para detectar este tipo de amenazas.
¿Cómo reconocer una campaña de phishing?
Un ataque de este tipo tiene tres componentes:
1. El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
2. El atacante se hace pasar por una persona u organización de confianza.
3, El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
Aunque los hay de todas las formas y tamaños, es posible aprender a reconocer los mensajes de phishing. A continuación, se recopilan algunas prácticas comunes:
• El correo electrónico no está dirigido a usted: muchos tipos de phishing, incluidos los del tipo «engaño» estándar, utilizan una red de arrastre para atrapar a cuantos puedan. Por ese motivo el mensaje no está personalizado con el nombre del destinatario, sino que saluda de forma vaga, por ejemplo con «Estimado cliente», aunque puede llegar a utilizar el nombre de usuario del correo electrónico.
• Una oferta que no puede rechazar: si le llega una oferta o ganga que parece demasiado buena para ser cierta, probablemente no lo sea. No deje que los timadores le engañen con ofertas tentadoras.
• Debe actuar de inmediato: a los phishers les encanta jugar con la urgencia. No caiga en el síndrome FOMO (siglas en inglés de «miedo a perderse algo»), no se crea las amenazas y, lo que es más importante, conserve la calma. Ninguna entidad legítima, ni gubernamental, ni empresarial, ni de ninguna clase, le dará una única y urgentísima posibilidad antes de cerrarle la puerta.
• Enlaces acortados: busque enlaces maliciosos ocultos tras los servicios de acortamiento de URL. Como regla general, pase el cursor sobre cualquier enlace antes de hacer clic en él. Dado que la mayoría de las interfaces móviles no ofrecen esta funcionalidad, sea doblemente suspicaz con los enlaces cuando consulte el correo electrónico con su teléfono.
• Enlaces con errores: los hackers crean versiones falsificadas de sitios legítimos con URLs casi idénticas, animando en sus mensajes de phishing a hacer clic en estos enlaces. Esté atento a los errores deliberados, ya sean tipográficos (los hackers intentarán engañarlo con versiones ligeramente incorrectas de las URL legítimas) u ortográficos (cuando se hace uso de letras y caracteres de aspecto similar). Lea atentamente los enlaces antes de hacer clic en ellos.
• Mensajes escritos de forma incorrecta: el banco no envía correos electrónicos llenos de faltas de ortografía y errores gramaticales. Un phisher sí que puede hacerlo, y a menudo lo hace. Descuidos como estos son claras indicaciones de un mensaje de phishing.
• Archivos adjuntos: los archivos adjuntos no tienen nada de malo en sí mismos... si los espera y proceden de alguien de confianza. Fuera de este contexto, aléjese de los archivos adjuntos desconocidos. Los estafadores pueden incluso ocultar malware en archivos de contenido enriquecido, como los PDF.
• Solicitudes de información personal: los phishers van detrás de sus datos. Si recibe un correo electrónico donde se le pide que confirme su información de cuenta, las credenciales de inicio de sesión u otros datos personales, es probable que se trate de una estafa.
• No utiliza esa empresa o servicio: los phishers no suelen tener acceso a las bases de datos de usuarios de las empresas por las que se hacen pasar, así que envían sus correos electrónicos de phishing a cualquiera que se ponga a tiro. Si recibe un mensaje de Servicios de Streaming A, pero usted es un fiel cliente de Servicios de Streaming B o C, se trata de phishing.
Las amenazas digitales están a solo un clic, una descarga, un sitio web o un correo electrónico. Hay que tener especial cuidado con la ciberseguridad y saber dónde se está accediendo o qué información se está facilitando. Hay muchos hackers que están esperando el mínimo despiste. En este sentido, la mejor manera de evitar ser atacados es contar con el escudo de un antivirus.