+34 910 60 63 27 [email protected]

Cómo te roban contraseñas y datos personales las campañas de phishing

Las campañas de phishing (suplantación de identidad en inglés) son un sofisticado sistema de estafa online que tiene por objetivo el robo masivo de datos, normalmente personales pero en muchas ocasiones también financieros o empresariales, casi siempre para venderlos en el mercado negro. Seguro que alguno de tus conocidos, o incluso tú mismo, habéis sido víctimas de este popular fraude. Para ayudar a erradicarlo, desde TokApp te enseñamos en este artículo cómo reconocerlo y cómo recuperar el control de tus cuentas y tu información difundida si has tenido la mala suerte de caer en sus trucos.

 

Foto: news-sophos.com

 

 

Zara, Netflix, Mercadona, El Corte Inglés, Panda Security, Mcdonald’s, Ryanair, Spotify, Starbucks, Mapfre… innumerables marcas internacionales de sectores de todo tipo han sido utilizadas como cebo para perpetrar esta clase de delito. Suele presentarse como un mensaje enviado por un amigo, a menudo desde su usuario de WhatApp o perfil de Facebook, y con menos frecuencia mediante su cuenta de e-mail. No obstante, hay otros métodos más convencionales, no por ello menos evolucionados, con los mismos propósitos: la realización de llamadas telefónicas y el correo postal.

 

 

 

¿Cómo reconocerlos?

 

Los mensajes de phishing que se transmiten a través de WhatsApp o Facebook, se disfrazan como un aviso de un amigo sobre una promoción -falsa-, por ejemplo, cupones de descuento o vales regalo -que en realidad no existen-, seguido de un vínculo acortado a una web. Al entrar en este enlace, nos encontramos con una copia casi indistinguible de la auténtica página de la empresa en cuestión, y en ella aparece un cuadro informativo que nos dice que para obtener el producto, debemos registrarnos en la plataforma o responder a un cuestionario. Nos solicitan datos como nuestro nombre completo, correo electrónico y una clave (la cual un inmenso porcentaje de los internautas tienen común para todas sus cuentas), y antes de finalizar el proceso de registro, nos informan de que al hacer clic en Continuar, estamos aceptando reenviar el mensaje de phishing a todos nuestros contactos, de modo que la campaña continúa y continúa propagándose. Con estas referencias, la información que pueden llegar a obtener de nosotros es inestimable, de hecho, sería posible que pudieran ingresar desde un dispositivo remoto a, por ejemplo, nuestra cuenta de Google, sincronizarla con ese dispositivo ajeno y consultar nuestra actividad en la web: nuestras ubicaciones, historial de navegación, nuestras búsquedas por voz, saber qué vídeos vemos en Youtube…

 

Foto: ecija.com

 

Igual de peligrosas son las campañas que replican los espacios de Netflix, HBO, Spotify o plataformas de deporte en streaming para ver fútbol. Cuando el usuario ingresa sus credenciales en el sitio, éstas son recogidas por los ciberdelincuentes de manera que se apoderan de la cuenta para después vendérsela a otra persona en la red pirata por un precio muy inferior al original, variable dependiendo de si se trata de una cuenta básica o premium. Y para que el verdadero propietario no perciba que otro está conectándose a su cuenta, los hackers se aseguran de no dejar cabos sueltos sugiriéndole al comprador que no haga ninguna modificación que pueda llamar la atención.

 

Otra de las presas más atractivas a ojos de los piratas informáticos, en la línea de la anterior, son las cuentas de vendedores fiables, con opiniones positivas, en páginas de compraventa o subastas del estilo de eBay. Por una cuenta con este perfil pueden llegar a pagarse poco menos de 1.400 euros. Muchísimo más graves son las imitaciones de sistemas de pago online, como PayPal, en la que el coste por cuenta puede oscilar enormemente en función del saldo del que ésta disponga.

 

En el caso de las llamadas, el teléfono que la emite puede aparecer con un prefijo extraño, como una larga extensión de dígitos o directamente oculto. El teleoperador ofrece una inscripción a un servicio, por ejemplo, una peña de lotería. Entre los datos que te pide estará la dirección de tu domicilio, con la excusa de enviarte una carta con información detallada y un formulario. Es con ese formulario con lo que completan el engaño: las casillas que tienes que cubrir son nombre y apellidos, fecha de nacimiento, DNI, números de tarjetas de crédito, correo electrónico…

 

 

Pueden traficar con tus datos, o pueden extorsionarte

 

Según cuánto pueda perjudicarte la difusión de la información robada, ellos deciden si les compensa más venderla, o hacerte pagar por su rescate. Es lo que le ha sucedido a algunas clínicas médicas privadas, que han visto comprometidos datos confidenciales de sus pacientes y que han ofrecido enormes cantidades de dinero para poder recuperarlos. Sin embargo, tras entregar el importe acordado, los ciberladrones se quedaron con ese botín, más el que habrán obtenido del mejor postor, puesto que los ficheros nunca son devueltos.

Foto: huffingtonpost.com

 

 

He mordido el anzuelo, ¿cómo actúo ahora?

 

⇒ La OSI (Oficina de Seguridad del Internauta) recomienda herramientas como Google Alerts, que permiten averiguar qué datos tuyos se están publicando en la red sin consentimiento. Una vez localizados, sigue las pautas de la Agencia Española de Protección de Datos para ejercer tus derechos de acceso, rectificación, cancelación u oposición.

 

⇒ Si has facilitado tu número de teléfono, advierte a tu operadora de lo sucedido para que bloquee la entrada de cualquier SMS Premium e impida que se realicen llamadas de tarificación especial.

 

⇒ Si se te ha instalado algún software extraño, haz una limpieza de tu móvil y borra todos los programas o aplicaciones de dudosa fiabilidad que veas.

 

⇒ Si has proporcionado datos de tu tarjeta de crédito, llama inmediatamente a tu banco y cancélala.

 

 

 

 

Más vale prevenir

Para garantizar la privacidad y protección de tus datos asegúrate de que el receptor de la información es un sitio seguro y oficial de la marca o servicio que estás visitando. Si recibes mensajes a través de plataformas no seguras y no conoces al emisor, desconfía. Plataformas como TokApp garantizan tu seguridad recibiendo información de entidades que sí aceptaste. Y como siempre, si no lo tienes del todo claro, ponte en contacto con la entidad y no hagas nada mientras no tengas una respuesta afirmativa. Sospecha ante el menor indicio, en especial cuando la página que no suelas utilizar, tarde mucho en cargar.

 

 

Y sobre todo, alerta a tus contactos para impedir ser infectado si lo es alguno de ellos.