¿Qué es el phishing y cómo puedo evitarlo?

Los delitos cibernéticos no siempre son hackeos, a veces los cibercriminales nos acosan de formas inesperadas

Eduardo Rivas

El phishing es una práctica criminal que poco tiene que ver con programación y el perfil tradicional del delincuente cibernético.

El criminal intenta engañar pretendiendo ser personal de un banco (generalmente) para conseguir información confidencial de sus víctimas, ya sea contraseñas de dispositivos, números de cuentas bancarias, del seguro social o cualquier información que puedan usar para beneficio propio.

También te puede interesar: En México hacen falta regulaciones en materia de ciberseguridad: Metabase Q

¿Qué es Phishing?

De acuerdo a la Condusef, consiste en captar datos personales y  bancarios de los usuarios a través de la utilización de la imagen de la institución financiera, para posteriormente cometer fraude con las cuentas de las personas que llegan a caer en el engaño. 

¿Cómo se lleva a cabo?

Los criminales envían correos electrónicos, aunque también pueden hacer contacto a través de las redes sociales. Sin importar el método por el que contacten a sus víctimas los criminales envían links dirigidos a sitios web maliciosos o que descargan malware a los equipos de las personas. A través de éstos, piden datos personales simulando emergencias o directamente haciendo amenazas. Una vez que obtienen la información, depende de sí puede ser vendida en mercados negros en la deep web o usarla directamente para extorsionar o robar.

De acuerdo a información de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) al primer trimestre del año 2021 los delitos de fraude cibernético se redujeron 4% respecto al mismo periodo del año anterior, aunque sin duda los criminales se están adaptando al uso de las nuevas tecnologías pues los delitos por medios virtuales pasaron de representar 42% en 2017 a 70% en 2021.

De igual forma, según información de la firma de ciberseguridad Kaspersky, México recibió 3.34% del total de correos maliciosos de casos de phishing a nivel mundial, lo que colocó a México en el séptimo lugar en todo el mundo en delitos de esta naturaleza y el primer lugar en América Latina durante el año 2020. Una de las razones del aumento en los delitos tuvo que ver con la emergencia sanitaria causada por el Covid-19 que impulsó el trabajo en casa y por Internet.

“El año 2020, marcado por la pandemia, la transición masiva al teletrabajo y la comunicación, en línea resultó inusual en muchos sentidos, lo que se refleja en las estadísticas de spam y phishing durante esos 12 meses. Los ciberdelincuentes utilizaron al máximo el Covid-19 como cebo para sus campañas y todo apunta a que esta tendencia se mantenga en 2021”, detalló el informe de Kaspersky.

También te puede interesar: Guardia Nacional y sector privado trabajarán conjuntamente en materia de ciberseguridad

¿Cuáles son las medidas?

Para prevenir ser víctimas de este delito, el Instituto de Ingeniería de la Universidad Nacional Autónoma de México (UNAM) así como la firma de ciberseguridad y antivirus ESET emitieron ciertas recomendaciones entre las que destacan:
  1. Revisar la ortografía de los mensajes, los errores ortográficos, gramaticales, de redacción, etcétera. Aunque no es regla que los correos fraudulentos conlleven este tipo de detalles, sí suele presentarse con bastante frecuencia.
  1.  Saludos genéricos, debido a que estos correos suelen enviarse masivamente a muchos de ellos les hace falta personalización y conllevan saludos como “Estimado cliente”.
  1. Links en los correos; generalmente las instituciones financieras utilizan protocolos seguros que inician con “https://” y muestran un pequeño candado en la barra de direcciones, adicionalmente la recomendación indica que no se haga click directamente sobre enlaces contenidos en correos electrónicos sino teclear las direcciones en la barra.
  1.  Inesperados y con sensación de urgencia; se debe sospechar de una institución bancaria que nos contacte repentinamente y más con mensajes que inciten a llevar a cabo acciones rápidas o peor aún con ofertas únicas.
  1.  No llevar a cabo ningún tipo de contacto por Internet desde dispositivos extraños como cibercafés o a través de redes públicas y no seguras.