El caos del GDPR: Incluso los estafadores tienen una nueva política de privacidad

29 May 2018
Amenazas

Lo más probable es que te hayan inundado de mensajes de cualquier servicio que hayas usado, con información sobre un cambio en sus políticas de privacidad y la necesidad de volver a suscribirte a sus boletines informativos para seguir recibiéndolos.

No es una nueva moda de las multinacionales, simplemente están intentando cumplir con la nueva regulación del Registro General de Protección de Datos (GDPR por sus siglas en inglés), que entró en vigor el 25 de mayo de 2018.

El GDPR se aplica a todas las empresas que operan en territorio europeo y exige que gestionen los datos de los usuarios con responsabilidad; esto incluye almacenarlos de forma segura, no cederlos a terceros sin el permiso del usuario y ofrecer a tiempo notificaciones sobre filtraciones de datos en caso de que ocurran.

Además, las empresas no tienen el derecho de enviar mensajes a usuarios sin su consentimiento. Por ello, tu buzón de entrada está lleno de peticiones de que te vuelvas a subscribir, los servicios quieren seguir enviándote mensajes, pero no pueden sin tu permiso.

El fraude del GDPR

Los cibercriminales se han aprovechado de esta oportunidad perfecta para conseguir múltiples datos de usuarios. A fin de cuentas, millones de personas en todo el mundo están aceptando incalculables mensajes e introduciendo datos personales en páginas web sin dudarlo.

Por ejemplo, nos hemos encontrado con un correo, aparentemente en nombre de Apple, que informaba con tono intimidante a los receptores de que su ID de Apple estaba bloqueada y se eliminaría en tres días si no rellenaba un formulario para confirmar la información de su cuenta.

Apple no puede confirmar tus datos de facturación, decía el mensaje, y esto presuntamente infringía la política de seguridad de la empresa. Tu cuenta está bloqueada y se eliminará dentro de tres días, continuaba la advertencia, a no ser que sigas el enlace y rellenes tus datos.

Esto, por supuesto, no tiene nada que ver con Apple. Se trata de un caso claro de phishing.

Los autores del correo han usado la trampa más antigua de manipulación social: la intimidación. Por miedo a perder su cuenta, el usuario se asusta y actúa de forma impulsiva, introduciendo datos donde no debería. Este tipo de estafa es muy eficaz y abundante.

Ejemplo del correo de phishing relacionado con el RGPD, en nombre de Apple

 

Cómo identificar el phishing

Si mantienes la calma, es bastante fácil darte cuenta de que estás ante un caso de phishing. Vamos a ver el mensaje sobre la ID de Apple con más detenimiento.

En la mayoría de los casos es posible determinar que es un fraude incluso sin abrir el mensaje. Por ejemplo, comprueba la dirección de correo del remitente en el campo De y el tema en el campo Asunto (mira la captura de pantalla). Una dirección de correo electrónico muy larga, con palabras genéricas y una secuencia de números es obviamente falsa, sobre todo cuando sabes que todos los mensajes auténticos de Apple vienen de appleid@id.apple.com.

El asunto del mensaje contiene números extraños que no tienen sentido. Los estafadores los usan para generar ruido en la información para que el mensaje parezca real. Presta atención también a la etiqueta RE, que significa que el mensaje que has recibido es en respuesta a un mensaje que tú mismo has enviado. Lo cual es muy sospechoso, si no habías enviado antes un mensaje a esta empresa (esto también se hace para evitar los filtros del correo no deseado).

Si el asunto y el correo del remitente no son suficientes, analizar el texto del mensaje debería disipar todas las dudas. Ninguna empresa que se precie y que tenga tus datos personales se dirigiría a ti usando tu correo electrónico en lugar de tu nombre y apellidos.

Otra forma de reconocer un correo fraudulento es ver la dirección del enlace que te pide que sigas. Si pones el puntero del ratón sobre el texto del enlace, la dirección a la que te va a llevar aparecerá al lado o en la esquina inferior izquierda de la ventana del buscador. No debería contener ningún dominio desconocido, ni enlaces cortos como bit.ly o parecidos.

Cómo proteger tus datos

  • Nunca introduzcas datos en páginas web extrañas o desconocidas. Todo lo que hagas en relación con tus datos personales debería ser únicamente en páginas web oficiales.
  • Antes de hacer click sobre el enlace de un correo e introducir tus datos personales, asegúrate de que el mensaje es auténtico. Revisa el correo del remitente, el asunto del correo, y el texto por si hubiera algo extraño. Si algo no te convence no hagas click. Ponte en contacto con el soporte técnico del nombre del servicio del supuesto remitente. Ellos te ayudarán a aclarar la situación.
  • Usa soluciones de seguridad fiables como Kaspersky Internet Security, con componentes anti-spam y anti-phishing. Localizará los mensajes sospechosos y advertirá sobre enlaces de dudosa reputación.