Skip to main content

Actualizado el lunes, 29 julio, 2024

Durante las últimas horas Atomic4 hemos sido víctimas de un ataque de phishing. Te explicamos qué es y cómo no caer el ataque.

El phishing es la suplantación de identidad, una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria. Se lleva a cabo a través de mensajes fraudulentos que parecen ser comerciales y se envían por correo electrónico, SMS o llamadas telefónicas o WhatsApp. Si recibes uno de estos mensajes debes mantener el software de seguridad actualizado, no introducir datos bancarios en las páginas que te han enviado  y verificar las URLs en el navegador para estar protegido.

¿Cómo identificar un ataque de phishing?

El phishing es una técnica de engaño que se hace pasar por una entidad legítima, como por ejemplo nuestra empresa, para obtener información personal confidencial. En este caso a través de una supuesta encuesta sobre redes sociales. Muchas de las personas que habéis recibido estos mensajes fraudulentos los habéis detectado rápidamente porque suelen utilizar números de teléfono de otros países, emails con algún error de escritura y suelen hablar de forma poco natural.

En el ataque que hemos recibido no nos han hackeado ninguna de nuestras cuentas y nuestros datos y web sí son seguros. Tener presencia en Internet te hace vulnerable a recibir estos mensajes fraudulentos o ser víctima de la suplantación de identidad, como es nuestro caso.

¿Cómo detectar mensajes de WhatsApp fraudulentos?

  • Verifica el remitente: Antes de confiar en cualquier mensaje o enlace recibido, verifica el número o el nombre del remitente. Los atacantes pueden hacerse pasar por una persona o empresa real, pero es posible que haya pequeñas diferencias en el nombre o en el número que te pueden alertar sobre la autenticidad del mensaje.
  • Examina el contenido del mensaje: Presta atención a la redacción y a los errores gramaticales en el mensaje. Muchos ataques de phishing contienen errores ortográficos o gramaticales que podrían ser una señal de alerta.
  • Ten cuidado con los enlaces: Si recibes un mensaje con un enlace, no hagas clic de inmediato. Si estas en un ordenador, pasa el cursor sobre el enlace (sin hacer clic) para ver la dirección URL completa. Si el enlace parece sospechoso o no coincide con el sitio web al que supuestamente te dirige, es probable que sea un intento de phishing. Desde el móvil puedes copiar y pegar la URL en el bloc de notas antes de acceder desde un navegador.
  • No compartas información personal o confidencial: ningún remitente de fiar te pedirá que compartas información personal o confidencial, como contraseñas o números de tarjetas de crédito, a través de la aplicación. Si recibes una solicitud de este tipo, desconfía.
  • Confirma la autenticidad con la fuente oficial: Si recibes un mensaje sospechoso que parece provenir de una empresa o institución conocida, no respondas ni hagas clic en los enlaces proporcionados. En su lugar, visita el sitio web oficial de la empresa o institución y busca información sobre la comunicación o el mensaje que recibiste. Puedes contactarlos directamente para confirmar la autenticidad del mensaje. Si estás leyendo esto es porque así lo has hecho. Siempre es buena idea rastrear la información.

Te enseñamos algunos de los mensajes que se han enviado en nuestro nombre pero son falsos. Reconocerás rápidamente que son teléfonos extranjeros, que hay imágenes falsas o que la conversación empieza hablando en inglés y luego se pasa al español.

¿Cómo detectar correos electrónicos falsos y sitios web fraudulentos?

Los correos electrónicos fraudulentos a menudo contienen errores gramaticales y transmiten un sentido de urgencia y miedo para que el usuario realice las acciones que el atacante solicita. Por tanto, un correo electrónico que contenga este tipo de errores y/o que transmita una sensación de urgencia o miedo debe ser tratado con sospecha. Además, antes de acceder a un sitio web, es importante comprobar la URL y verificar que corresponde realmente al sitio web genuino. Suelen ser URLs con cuentan con el código HTTPS, por eso es importante que las distingas.

¿Cómo diferenciar entre correos electrónicos legítimos y fraudulentos?

Los correos electrónicos de phishing a menudo se hacen pasar por organizaciones o entidades de confianza, así que es importante verificar la autenticidad del correo en cuestión. Algunas pistas que pueden ayudar a diferenciar entre correos legítimos y fraudulentos son:

  • La dirección de correo electrónico desde la que se ha enviado el mensaje. Si no coincide con la dirección legítima de la organización, el correo electrónico posiblemente sea fraudulento.
  • La solicitud de clicar en un enlace que redirige a una página web solicitando información personal. Siempre hay que ser conscientes de que las entidades legítimas siempre pedirán que el usuario acceda manualmente a la página web y que no lo haga a través de un enlace incluido en un correo.
  • La información que se solicita. Las entidades legítimas nunca solicitarán contraseñas o información bancaria por correo electrónico.

¿Cómo protegerse del phishing?

Recuerda, en el ataque que hemos recibido no nos han hackeado ninguna de nuestras cuentas y nuestros datos y web sí son seguros. Tener presencia en Internet te hace vulnerable a recibir estos mensajes fraudulentos o ser víctima de la suplantación de identidad, como es nuestro caso.

Si recibes un mensaje fraudulento, protege tus datos personales y bancarios

Estos son algunos consejos para proteger tus datos personales y financieros del phishing:

  • No introduzcas información bancaria o de acceso en sitios web a los que se haya accedido a través de un enlace incluido en un correo electrónico.
  • Comprueba siempre la URL en tu navegador y asegúrate de que es legítima.
  • Mantén actualizado tu software de seguridad y utiliza siempre un antivirus.
  • Verifica la autenticidad del remitente de un mensaje de correo electrónico antes de responder.
  • Si recibes un mensaje de correo electrónico sospechoso, contacta directamente con la empresa o entidad para asegurarte de su autenticidad.

Herramientas y software de seguridad para prevenir el phishing

Existen ciertas herramientas y software de seguridad que pueden ser muy útiles para prevenir el phishing:

  • Utiliza un software de bloqueo de spam, que puede ayudar a filtrar los mensajes falsos antes de que lleguen a tu bandeja de entrada.
  • Un software de gestión de contraseñas puede ayudar a mantener tus contraseñas seguras y evitar la reutilización de las mismas.
  • Los navegadores modernos ofrecen opciones para detener los sitios web fraudulentos mediante el bloqueo de sitios web sospechosos.

¿Cómo reportar y denunciar ataques de phishing?

Si sospechas que has sido víctima de un ataque de phishing, es importante que informes a la entidad afectada tan pronto como sea posible. De esta forma dicha entidad puede tomar medidas para proteger tus datos y los de otros usuarios. Además, puedes presentar una denuncia en la Policía Nacional o en la Guardia Civil para denunciar este tipo de ataques.

Otros tipos de ataques de ingeniería social

Aparte del phishing, existen otros tipos de ataques de ingeniería social que también buscan obtener información confidencial de las víctimas.

Pharming

A diferencia del phishing, el pharming no requiere que la víctima haga clic en ningún enlace o descargue algún archivo adjunto. En lugar de eso, el ataque modifica las direcciones URL de los sitios web legítimos. De esta manera, cualquier dato que la víctima proporcione al sitio web falso será enviado directamente a los cibercriminales. Las consecuencias del pharming pueden ser desastrosas en caso de que el ataque se dirija a sitios web de banca en línea o tiendas en línea, ya que la información confidencial, como los datos de la tarjeta de crédito, puede ser robada fácilmente.

Scam

El scam es una forma de estafa en la que el atacante finge ser una empresa o entidad de confianza para engañar a la víctima. Por ejemplo, los ataques de scam pueden incluir correos electrónicos fraudulentos que avisan a la víctima de que han ganado un premio o que necesitan actualizar su información bancaria. Los ataques de scam pueden llevar a la víctima a proporcionar información personal o financiera, lo que puede resultar en robo de identidad o en la obtención de beneficios económicos a costa de la víctima.

Spear phishing

El spear phishing es similar al phishing, pero en lugar de enviar correos electrónicos masivos, los cibercriminales personalizan los correos electrónicos para adaptarlos a cada víctima individualmente. Por ejemplo, los correos electrónicos pueden incluir el nombre de la víctima, sus intereses o el nombre de su empresa. Estos detalles personalizados pueden engañar a la víctima y hacer que piense que el correo electrónico es legítimo, aumentando el éxito del ataque. Los objetivos del spear phishing pueden ser altos cargos ejecutivos o empresas de alto perfil.

  • El pharming consiste en modificar las URL de los sitios web legítimos para que la información personal sea enviada a los cibercriminales.
  • El scam es una estafa en la que el atacante finge ser una empresa o entidad de confianza para engañar a la víctima.
  • El spear phishing personaliza los correos electrónicos para adaptarlos a cada víctima individualmente.

Es importante tener en cuenta los diferentes tipos de ataques de ingeniería social para evitar ser víctima de ellos. Los consejos para detectar y prevenir el phishing pueden aplicarse también a estos otros tipos de ataques. Además, es importante no proporcionar información personal o financiera confidencial a empresas o entidades no verificadas y mantener el software de seguridad actualizado en todo momento.

Medidas de seguridad para estar protegido en un mundo cada vez más conectado

Como ves, cualquiera podemos ser víctimas de un ciberataque. Algunos consejos sobre ciberseguridad que compartimos son:

  • Actualización del software: Es importante mantener siempre el software de seguridad actualizado. Casi todos los ataques de malware explotan vulnerabilidades de software conocidas.
  • Contraseñas seguras: Como siempre, se recomienda el uso de contraseñas seguras y diferentes para cada sitio web o aplicación. Las contraseñas deben ser largas y complejas, y es vital no utilizar la misma contraseña para todos los sitios web.
  • Sé crítico con lo que ves en Internet: Es importante educarnos como usuarios sobre los peligros online y cómo evitarlos.
  • Verificación de correos electrónicos y sitios web: Es importante verificar siempre la autenticidad de los correos electrónicos y sitios web que se visitan. Es decir, comprobar si el correo electrónico y el sitio web son legítimos, o si los nombres del remitente y del dominio en el correo electrónico son auténticos.