El pasado mes de septiembre, Nominalia fue advertida sobre una campaña de phishing en la que los atacantes suplantaron su identidad para tratar de hacerse con datos personales de sus usuarios. Es por ello que queremos dedicar esta entrada al phishing, para entender en qué consiste esta técnica de cibercrimen y qué medidas tomar para protegernos frente a posibles ataques.
Qué es el phishing o suplantación de identidad
El término «phishing» es la adaptación a la jerga informática del verbo inglés “fishing”, que en esta acepción equivaldría a pescar en el sentido de lograr o conseguir algo astutamente.
En este sentido, el phishing se refiere a la práctica electrónica fraudulenta que consiste en enviar mensajes de correo electrónico fingiendo ser una empresa o entidad de confianza —razón por la que también se lo conoce como suplantación de identidad— para, por lo general, inducir a la persona destinataria a revelar datos personales, como contraseñas o números de tarjeta.
Para engañar a los usuarios y hacerlos pensar que la página o mensaje falseado es auténtico, los cibercriminales manipulan los enlaces, emplean técnicas como enviar imágenes que pueden sortear filtros de seguridad y falsifican páginas web.
Cómo detectar un correo fraudulento
Más allá de conseguir un número de tarjeta de crédito, esta categoría de fraude electrónico puede tener muchos objetivos, desde acceder a información confidencial hasta instalar malware en el sistema de la víctima, por lo que el aspecto de cada ataque es distinto.
Con todo, podríamos decir que existen ciertos atributos comunes a muchos de estos intentos:
Mala presentación
Los suplantadores de identidad confían en las prisas y la poca atención de las personas, que suelen fiarse de nombres que «les suenan». Por eso, aunque no siempre es así, muchas veces los mensajes tienen un aspecto descuidado, están mal redactados y hasta contienen faltas gramaticales y de ortografía.
Vaguedad
Dado que este tipo de mensajes se suele enviar en masa, veremos que nuestro nombre y otros datos identificativos (como número de cuenta o cliente, fecha de contrato, etc.) no constan en ningún lado, son deliberadamente ambiguos (por ejemplo: «tu contrato caduca a final de mes» en vez de «tu contrato caduca el 15/06/2019» o son directamente falsos.
Ficheros adjuntos y enlaces extraños
En estos mensajes, el destinatario suele pedirnos que pinchemos en un link «raro» o que no es seguro, es decir que, en lugar de usar HTTPS, usa HTTP (aunque también es posible que escondan el enlace verdadero utilizando hipertexto: para comprobar si el link que vemos corresponde con la dirección a la que redirige, debemos pasar el ratón por encima, para ver la página de aterrizaje).
Por otro lado, el mensaje puede pedirnos que abramos documentos que no hemos solicitado o que no sabemos qué son. Muchas veces, estos ficheros tienen una extensión «extraña» (no son el típico .docx o PDF), ya que contienen virus o programas maliciosos.
Remitente desconocido o mal escrito
Las alarmas deben dispararse cuando recibimos un mensaje de alguien que no conocemos, tanto los más inverosímiles como los que suenan más creíbles a priori. Esto es así porque en muchas ocasiones los estafadores utilizan nombres muy parecidos a los reales, por ejemplo, info@nominala.com (el dominio es tan parecido al de nominalia.com que, si no se lee con detenimiento, es fácil pasar por alto que le falta una «i»).
También utilizan trucos más sofisticados para camuflar los nombres: puede ser que direcciones que resultan idénticas a la vista conduzcan a sitios distintos. Por ejemplo, dominio.com y dοminiο.com parecen iguales; sin embargo, en el segundo, las letras o se han sustituido por la letra griega ómicron, que los ordenadores leen totalmente distinto.
Precauciones para reconocer estafas por internet
Por todo esto, para evitar caer en la trampa de los correos de phishing, es recomendable tener presentes los siguientes puntos:
- Instalar programas de seguridad online. La mayoría de proveedores de correo tienen filtros antispam de serie, pero añadir otro de algún proveedor especializado puede ayudar a bloquear mejor estos mensajes fraudulentos. Además, para cuidarnos en el caso de que el correo llegue a nuestra bandeja, es imprescindible contar con un buen antivirus, spyware y cortafuegos. Aunque no son infalibles, defenderán nuestro ordenador en caso de que lleguemos a descargar archivos maliciosos y lo protegerán de páginas falsas comprobando el certificado de seguridad.
- No abrir nunca ficheros adjuntos que no conozcamos o parezcan sospechosos.
- No pinchar en enlaces de mensajes que no hayamos solicitado; en caso de duda, lo mejor es escribir manualmente la dirección e iniciar sesión en la página en cuestión.
- No facilitar jamás datos personales como números de cuenta o tarjeta de crédito por email. También es buena idea tener varias direcciones de correo electrónico y ser precavido a la hora de publicarlas.
- Comprobar que el número de teléfono de la empresa es realmente el que ponen en el mensaje antes de llamar.
Medidas antiphising en Nominalia
En Nominalia nos tomamos muy en serio la seguridad online; por este motivo, tras el pasado incidente, hemos extremado las medidas instalando nuevos certificados SSL de Validación Extendida o Extended Validation (EV) para validar los accesos a nuestros sistemas.
Las páginas de Nominalia siempre han contado con certificados SSL, algo imprescindible en páginas donde hay transacción de datos, ya que permite cifrar las comunicaciones y autenticar la identidad de la web (los usuarios pueden saber si un sitio web tiene o no un certificado SSL válido comprobando que el nombre de dominio está precedido de «HTTPS» en la barra de navegación).
Pero ahora, además, el Panel de Control y Webmail de Nominalia cuentan con el certificado SSL de validación máxima, que proporciona un alto grado de confianza, ya que para conseguirlo, Autoridad de Certificación debe realizar una serie de verificaciones exhaustivas.
Esta protección es altamente visible: la barra de la URL se vuelve verde y especifica el nombre de la empresa, junto con un icono de candado. Este es, por tanto, el mejor método para saber en todo momento que estamos visitando una página segura.
URL segura de la página de acceso al Panel de Control de Nominalia
URL segura de la página de acceso al WebMail de Nominalia
Si te interesa aplicar esta medida a tu propia página web, pero no sabes cómo instalar el certificado SSL, nuestros técnicos pueden hacerlo por ti.
Qué hacer si sospechamos que un correo es phishing
Para acabar, una breve lista sobre cómo proceder si detectamos un correo de phishing:
- Borrarlo.
- Si trabajamos por cuenta ajena: avisar al equipo informático.
- Avisar a la empresa o entidad suplantada mediante el servicio de Atención al cliente o las redes sociales para que pueda advertir a sus clientes.
- Avisar a la policía.
Si hemos clicado en el enlace o descargado el archivo y hemos facilitado nuestros datos, es fundamental que accedemos al servicio en cuestión (a poder ser, desde otro ordenador) y cambiemos la contraseña. De igual modo, deberemos comprobar nuestros extractos bancarios y anular cualquier transacción ilícita.
Email de phishing que intenta suplantar la identidad de Nominalia.
