Seis consejos contra el phishing

Cómo detectar los enlaces peligrosos enviados en mensajes y otros trucos que los estafadores utilizan para robar tus datos.

¿Qué tienen en común los correos electrónicos con encabezados como “Has ganado un millón de dólares” o “Tu cuenta ha sido bloqueada”? Que casi siempre son indicios de una estafa. El objetivo es convencer al destinatario de seguir un enlace que lo redirige a un sitio web de phishing e introducir información confidencial: nombres de inicio de sesión y contraseña o información de la cuenta bancaria. Te contamos cómo detectar el phishing y protegerte.

1. Revisa los correos electrónicos minuciosamente

Cuando recibas un correo electrónico, no te apresures a responder o seguir sus instrucciones. Lo primero que debes hacer es buscar indicios de phishing. ¿Cuáles son las señales de alerta?

  • Un asunto muy dramático. Entre los temas más comunes se incluyen las transferencias de grandes cantidades, compensación financiera, cuentas hackeadas o bloqueadas y transacciones fraudulentas; temas que llamen la atención y que muy probablemente dispararán una respuesta emocional, a menudo jugando con la codicia o el miedo.
  • Énfasis en la gravedad de la situación. El objetivo de frases como “¡Último aviso!” o “Solo quedan 3 horas”, así como el uso excesivo de puntos de exclamación, es que la víctima se apresure, entre en pánico y baje la guardia.
  • Texto con equivocaciones, errores tipográficos y caracteres extraños. Algunos delincuentes tienen problemas con el inglés, aunque a veces los atacantes incluyen errores intencionales como escribir mal las palabras o utilizar letras de otros alfabetos para esquivar los filtros de spam.
  • Direcciones de remitentes incongruentes. Una dirección de correo electrónico con muchas letras y números aleatorios o el nombre de dominio incorrecto son señales seguras de falsificación cuando un remitente afirma escribir de parte de una gran organización.
  • Enlaces en el correo electrónico, si los incluye, o el sitio web al que dirigen, para ser más precisos. Puedes comprobar un enlace pasando el cursor sobre él y leyendo la dirección con atención. Los delincuentes dan por hecho que las víctimas no prestan la suficiente atención como para detectar los cambios sutiles que hacen a los nombres de empresas o marcas famosas, por ejemplo, com o qoogle.com. Comprueba cada enlace con cuidado.

Esto debería ser suficiente en la mayoría de los casos para detectar un correo electrónico enviado como parte de una estafa de phishing masiva. Sin embargo, los nombres y direcciones de los remitentes pueden falsificarse; se pueden acortar los enlaces para que no sean legibles y las cadenas de redireccionamiento automático pueden configurarse para redirigir de direcciones web menos sospechosas al sitio web de phishing. Por este motivo, lo mejor es evitar hacer clic en los enlaces de estos correos electrónicos siempre que sea posible, a menos que seas tú el que lo haya solicitado. Por ejemplo, si te llega un aviso que parece provenir de un banco o tienda online, llama antes al servicio en cuestión para confirmar.

Si quieres saber si un premio es real, puedes utilizar un motor de búsqueda para encontrar el sitio web oficial de la empresa que supuestamente lo otorga; ahí podrás comprobar la información del premio. Estos son tan solo algunos ejemplos, pero nuestro consejo siempre es el mismo: si quieres acceder a un enlace de un e-mail no solicitado, intenta hacerlo de forma indirecta.

2. No bajes la guardia en las aplicaciones de mensajería o en las redes sociales

No solo debes tener cuidado con el correo electrónico. Los mensajes que recibes en las aplicaciones de mensajería y en las redes sociales conllevan el mismo riesgo; puedes encontrar enlaces maliciosos en las publicaciones de tus amigos en Facebook, en los comentarios publicados por falsos embajadores de marca en Twitter o en los mensajes directos en Discord.

También ten cuidado con los banners; las imágenes que muestran podrían no tener nada que ver con el sitio web al que redirigen. Las plataformas donde se publican los banners, por lo general, no controlan lo que los usuarios ven o a donde son redirigidos. Incluso un sitio web con buena reputación puede incluir anuncios que lleven a sitios web de phishing.

¿Qué puedes hacer? Así como con los correos electrónicos, comprueba cada enlace con cuidado y, si es posible, no hagas clic en ninguno.

3. Piénsalo dos veces antes de introducir tu información bancaria

 La información de tu tarjeta bancaria resulta particularmente sensible dado que proporciona acceso directo a tu dinero. Por ello, independientemente de cómo hayas llegado al sitio web, debes asegurarte de comprobar bien dónde te encuentras antes de introducir esta información.

En primer lugar, mira bien la dirección. Busca las mismas señales de alerta: errores tipográficos, números en lugar de letras, guiones en lugares inesperados y nombres de dominio extraños. Si ves algo así, sal del sitio web e intenta introducir la dirección de forma manual.

Después, en la barra de direcciones, haz clic en el candado del lado izquierdo. El candado no es ninguna garantía de seguridad, pero en él puedes aprender más sobre el propietario del sitio web (los navegadores nombran estas pestañas de diferente forma, como Certificado o Conexión segura).

Cómo comprobar quién es el propietario del sitio web: Busca la información del certificado SSL]

Así se ve la cadena de nuestro sitio web en Google Chrome

Si realizas muchas compras online, ya sea en pequeñas empresas o vendedores privados, te recomendamos utilizar una tarjeta independiente. Almacena solo pequeñas cantidades de dinero en ella y transfiérelo justo antes de necesitarlo. De esta forma, incluso aunque te roben la información de la tarjeta, no perderás mucho dinero.

4. Utiliza contraseñas diferentes

Si utilizas la misma contraseña para diferentes cuentas, aunque se trate de una contraseña de confianza, te arriesgas a comprometer todas tus cuentas si la introduces en un sitio de phishing en algún momento. Es importante utilizar una contraseña única para cada sitio web y aplicación.

Si te resulta complicado crear y recordar docenas de contraseñas para cada restaurante o tienda online, utiliza un gestor de contraseñas que las cree, gestione y utilice por ti.

Un gestor de contraseñas también actúa como un paso adicional de comprobación para evitar el phishing. Si abres una aplicación o sitio y te das cuenta de que no completa automáticamente tu información de inicio de sesión y contraseña, entonces lo más probable es que sea falso. Para un humano, podría parecerse al sitio web real, pero tiene una dirección diferente, por lo que el gestor de contraseñas no completará las credenciales de la cuenta.

En segundo lugar, estos gestores de contraseñas pueden generar contraseñas que sean difíciles de descifrar.

Y, por último, algunos gestores de contraseñas tienen funciones adicionales realmente útiles. Por ejemplo, Kaspersky Password Manager comprueba tus contraseñas y te notifica si son débiles, si se utilizan para otras cuentas o si ya están en alguna base de datos de contraseñas comprometidas.

5. Activa la autentificación en dos pasos para proteger tus cuentas

El objetivo de muchos ataques de phishing es secuestrar cuentas, pero, aunque los atacantes obtengan tu información de inicio de sesión y contraseña, aún puedes evitar que inicien sesión en tu cuenta con tan solo activar la autentificación en dos pasos siempre que sea posible. Una vez que lo hayas hecho, necesitarás un código de verificación temporal adicional para iniciar sesión. Lo recibirás por correo electrónico, SMS o mediante una aplicación de autentificación. Por lo que los atacantes no podrán hacerse con él.

Sin embargo, ten en cuenta que los ciberdelincuentes también pueden crear páginas de inicio de sesión falsas que soliciten estos códigos de autentificación en dos pasos de un solo uso. Por ello, es mejor proteger las cuentas importantes utilizando una autentificación basada en hardware con una memoria USB como YubiKey o Titan Security Key de Google.

Algunos autentificadores utilizan NFC y Bluetooth para conectarse a los dispositivos móviles. La ventaja de utilizar dispositivo de seguridad es que nunca revelará el secreto en un sitio web falso. Un sitio web necesita enviar la solicitud correcta para obtener la respuesta correcta del autentificador y esto es algo que solo el sitio web real sabe cómo hacer.

6. Utiliza protección de confianza

Resulta muy difícil andar siempre en busca de señales de alerta y comprobar cada dirección, enlace, etc. Pero es una tarea que puedes automatizar y confiar a las soluciones de seguridad como Kaspersky Security Cloud para protegerte contra el phishing. Esta protección basada en la nube te notificará a tiempo si tratas de entrar en una página maliciosa y bloqueará la amenaza.

Consejos