5 señales de que te están intentando pescar con un correo de ‘phishing’
¿Cómo identificar los emails peligrosos que se saltan las barreras de seguridad y terminan en la bandeja de entrada?
Los servicios de correo electrónico han ido mejorando con el tiempo la tecnología que los sustenta, con filtros que bloquean el paso de spam. Esto es, que se deshacen de los denominados correos basura. Pero eso no quiere decir que, actualmente, todos los mensajes que llegan a la bandeja de entrada sean inocuos o bien recibidos por la persona a la que van dirigidos. Existen campañas que bombardean a los internautas con publicidad no deseada, convirtiéndose en comunicaciones insoportables. También hay emails que llegan a su destino como si tal cosa pero que en realidad esconden una intencionalidad maliciosa, que dan paso a la descarga de malware, que dirigen a sitios peligrosos o que invitan a desvelar información privada.
Al actuar por correo, los ciberdelincuentes se valen de técnicas como el phishing para ganarse la confianza de los usuarios. Para pescarlos y hacerse con sus datos más preciados, contraseñas por ejemplo, que obtienen de forma fraudulenta y luego servirán a estos cacos para acceder a herramientas online o saquear cuentas bancarias. El phishing también permite extender los efectos de acciones criminales, animar para realizar descargas que nunca deberían iniciarse, infectar dispositivo tras dispositivo… Las opciones son múltiples. El phishing usa a los demás como gancho. Consiste en la suplantación de identidades de personas u organizaciones conocidas, de ahí que resulte sencillo caer en la trampa si no se revisan los mensajes de arriba abajo. Y de ahí que aprender a reconocer las estafas sea fundamental en las estrategias de formación sobre seguridad de los empleados. Basta con que un solo trabajador entregue información a un desconocido o pinche en un enlace para causar el caos general.
Si no quieres ser una víctima más de esta fórmula de ingeniería social que ha ayudado incluso a extender ransomware destructivo como la variante de Petya que ha causado estragos recientemente por diversas compañías alrededor del mundo, apunta los siguientes trucos. Estos cinco pasos te ayudarán a ti y a los miembros de tu plantilla a analizar emails y verificarlos, diferenciando un mensaje oficial de otro fraudulento:
1. La dirección de correo. Lo primero que deberías tener en cuenta es de quién procede el correo que ha entrado en tu buzón. Quizás en un primer momento el nombre te suene familiar o incluso sea idéntico al de un cliente o proveedor, pero si consultas la dirección desde la que se envía el correo de phishing y la comparas con la de otros mensajes anteriores que hayas intercambiado con esa persona o empresa, o si buscas en su página oficial, comenzarán a aparecer las diferencias. Un dominio diferente, letras intercambiadas… cualquier pequeña modificación en la dirección de correo del emisor debería hacerte sospechar. Por supuesto, si no eres clientes de la empresa en cuestión o no tienes ninguna relación con quien escribe, descarta el mensaje directamente. No corras riesgos. No importa que el email alerte de un supuesto hackeo, que te comunique un pago o que te proponga cubrir un formulario aparentemente inofensivo… la persona que está detrás, al final, sólo querrá hacerse con tus datos. A mayores, si la hora de envío no se corresponde con la jornada laboral habitual, será una prueba más de que algo raro ocurre.
2. El lenguaje. Otra pista que evidencia que el email ante el que te encuentras es un email de phishing tiene que ver con el lenguaje utilizado. Muchas veces las campañas de ciberdelincuencia se lanzan a nivel internacional y, aunque sus responsables decidan traducir el texto que acompaña a la estafa, si esa traducción no está hecha por expertos es probable que contenga errores notables. Hablamos de fallos ortográficos, pero también de malas construcciones sintácticas, palabras que no vienen a cuento y frases incongruentes. Todo ello son motivos para ponerte alerta. Y es que ninguna comunicación seria que se precie tendrá una redacción tan burda. El lenguaje en general es una señal fiable. El hecho de que un interlocutor con el que sueles hablar cambie la forma de dirigirse a ti también será sospechoso. Otra pista es un saludo genérico. Lo normal es que alguien que te escribe porque te conoce diga tu nombre. En este mismo sentido, si el email ha llegado a tu bandeja como resultado de un envío masivo a una lista de correo o con las direcciones de varias personas desconocidas en copia, sigue sospechando.
3. El contenido. Más allá del idioma utilizado (o del idioma mal utilizado), está lo que se dice. El asunto y el fondo del mensaje tienen que ser coherentes. Dado que la intención última del phishing es acabar guiando las acciones de quien lo lee, ya sea para abrir un archivo adjunto, para pinchar en un enlace, para responder a una serie de preguntas o para introducir credenciales en una página web, conviene actuar con precaución en todas las situaciones. Cuando las solicitudes de información tienen tintes muy personales, como la revelación de una contraseña o de algún dato bancario, lo mejor es no contestar. Mantén la calma y no te dejes llevar por la sensación de urgencia del aviso que te ha llegado. Además, no está de más usar la lógica. Y la lógica dice que hacer este tipo de peticiones, sobre todo por correo, no es algo que caracteriza a las verdaderas empresas. Si se necesita cambiar la contraseña, por ejemplo, se remitirá al usuario a la página oficial para proceder al reseteo. En todo caso, cuando un email remite a lo largo de su texto a una web específica, ahí es precisamente donde puede agazaparse la trampa, porque no sería raro que la redirección llevase a un sitio malicioso que imita al real y que quiere quedarse con tus datos.
4. Los enlaces. Como hemos visto, hay mensajes de phishing que incrustan en su cuerpo links a páginas externas para completar la pesca. Antes de pinchar en cualquier enlace que te entreguen por internet, pasa el cursor por encima para comprobar si lo que aparece escrito en el email y su destino final es el mismo. En vez de pinchar en enlaces aportados por terceros, se recomienda escribir URLs de forma manual en el navegador, porque al igual que ocurre con las direcciones de email el enlace que se ofrece puede alterar algún carácter respecto a otra dirección web fidedigna para engañarte. En el caso de bancos, redes sociales y muchos otros servicios online que dan acceso a información sensible, la dirección del sitio debería comenzar por https, como muestra de seguridad y confidencialidad mediante el uso de cifrado. Otro signo de que una web es segura es el icono del candado en la barra de direcciones. Por otro lado, como los archivos actúan asimismo como puerta de entrada para el mal, la otra regla de oro junto a la de no pinchar en cualquier enlace es no descargar y ejecutar los adjuntos por defecto. Por suerte, hay programas que permiten analizar los adjuntos en busca de malware. Aquí un programa antimalware convenientemente actualizado te ayudará. También conviene deshabilitar macros en documentos de Office.
5. El diseño. A la hora de tratar con campañas de phishing, la imagen tiene mucho valor. Algunas de las creaciones que llevan el sello de los grupos de cibercriminales están realmente logradas, con un diseño cuidado al detalle que hace que sea muy difícil diferenciar el clon del modelo original. Pero no siempre es así. Tanto en las páginas de phishing como en los emails de phishing que usurpan la identidad de una organización, un elemento visual que desentona puede cambiarlo todo. ¡Abre bien los ojos! Las empresas son rigurosas con su imagen corporativa, de modo que si ya has recibido correos electrónicos antes de una compañía específica, compara el nuevo con los que ya tienes para certificar que se mantiene el estilo. Los colores tienen que ser exactamente los mismos, no otros similares y casi iguales. Y el logo incorporado debe corresponderse con la última versión que exista y mostrarse con una buena resolución, ya que es lo que representa a la compañía. Incluso la parte de la despedida puede darte pistas de la estafa. Los ciberdelincuentes intentarán que la suplantación de identidad sea difícil de descubrir. Lo bueno es que hay formas de identificar el engaño antes de que cause daño. Sólo hace falta tomarse el tiempo suficiente para ver las señales.