Seis consejos contra el phishing

Cómo detectar los enlaces peligrosos enviados en mensajes y otros trucos que los estafadores utilizan para robar tus datos.

¿Qué tienen en común los correos electrónicos que llevan los encabezados “Ganaste un millón de dólares” y “Tu cuenta fue bloqueada”? Casi siempre son indicios de una estafa. El objetivo es convencer al destinatario de seguir un enlace que los lleva a un sitio web de suplantación de identidad (phishing) e ingresar información confidencial: inicio de sesión y contraseña o detalles de la cuenta bancaria. De esta manera puedes detectar el phishing y protegerte.

1. Revisa los correos electrónicos con cuidado

Cuando recibas un correo electrónico, no te apresures a responder o seguir sus instrucciones. Lo primero que debes hacer es buscar indicios de phishing. ¿Cuáles son las señales de alerta?

  • Un asunto dramático. Los temas más comunes incluyen transferencias de grandes cantidades, compensación financiera, cuentas hackeadas o bloqueadas y transacciones fraudulentas; temas que llamen la atención y que muy probablemente dispararán una respuesta emocional con frecuencia a la avaricia o miedo.
  • Énfasis en la gravedad de la situación. El objetivo de frases como “¡Último aviso!” o “Solo quedan 3 horas”, así como el uso excesivo de puntos de exclamación es que la víctima se apresure, entre en pánico y baje la guardia.
  • Texto con equivocaciones, errores tipográficos y caracteres extraños. Algunos criminales tienen problemas con el inglés, aunque a veces los atacantes incluyen errores intencionales como escribir mal las palabras, o utilizan letras de otros alfabetos con la intención de esquivar los filtros de spam.
  • Direcciones de remitentes incongruentes. Una dirección de correo electrónico con muchas letras y números aleatorios o el nombre de dominio incorrecto son señales seguras de falsificación cuando un remitente afirma escribir de parte de una organización grande.
  • Enlaces en el correo electrónico, si los incluye, o el sitio web al que dirigen, para ser más precisos. Puedes verificar un enlace si pasas el cursor sobre él y lees la dirección con atención. Los criminales apuestan a que las víctimas no pongan suficiente atención para detectar los cambios sutiles que hacen a los nombres de empresas o marcas famosas, por ejemplo sumsung.com o qoogle.com. Verifica cada enlace con cuidado.

Esto debería ser suficiente en la mayoría de los casos para detectar un correo electrónico enviado como parte de una estafa de phishing masiva. Sin embargo, los nombres y direcciones de los remitentes pueden falsificarse, es posible acortar los enlaces para que no sean legibles, y las cadenas de redireccionamiento automático pueden configurarse para ir de direcciones web menos sospechosas al sitio web de suplantación de identidad real. Por este motivo, lo mejor es evitar hacer clic en los enlaces de estos correos electrónicos si es posible, a menos que tú lo hayas solicitado. Por ejemplo, si te llega un aviso que parece provenir de un banco o tienda en línea, llama al banco o tienda para confirmar.

Si quieres saber si un premio es real, puedes utilizar un motor de búsqueda para encontrar el sitio web oficial de la empresa que supuestamente lo otorga; ahí puedes verificar la información del premio. Estos son solo algunos ejemplos, pero nuestro consejo siempre es el mismo: si quieres verificar un enlace de una carta no solicitada, busca un método alternativo.

2. No bajes la guardia en las aplicaciones de mensajería o en las redes sociales

No solo debes tener cuidado con el correo electrónico. Los mensajes que recibes en las aplicaciones de mensajería y en las redes sociales conllevan en mismo riesgo; puedes encontrar enlaces maliciosos en las publicaciones de tus amigos en Facebook, en los comentarios publicados por falsos embajadores de marca en Twitter, o en los mensajes directos en Discord.

También se cuidadoso con los banners; las imágenes que muestran podrían no tener nada que ver con el sitio web al que te llevan. Las plataformas donde se publican los banners, por lo general, no controlan lo que los usuarios ven o a donde son redirigidos. Incluso un sitio web con buena reputación puede incluir anuncios que lleven a sitios web de phishing.

¿Qué puedes hacer? Así como con los correos electrónicos, verifica cada enlace con cuidado, y si es posible, no hagas clic en ninguno.

3. Detente y piensa antes de ingresar tu información bancaria

Los detalles de tarjetas bancarias son particularmente sensibles porque proporcionan acceso directo a tu dinero. Es por esto que sin importar cómo llegaste al sitio web, debes asegurarte de verificar bien en dónde estás antes de ingresar esos detalles.

En primer lugar, mira bien la dirección. Busca las mismas señales de alerta: errores tipográficos, números en lugar de letras, guiones en lugares inesperados y nombres de dominio extraños. Si ves algo así, sal del sitio web e intenta ingresar la dirección de forma manual.

Después, en la barra de direcciones, has clic en el candado del lado izquierdo. El candado no es garantía de seguridad, pero en él puedes aprender más sobre el propietario del sitio web (los navegadores tienen nombres distintos para pestañas relevantes, como Certificado o Conexión segura.

Cómo verificar quién es el propietario del sitio web: Busca los detalles del certificado SSL

Así se ve la cadena relevante en nuestro sitio web en Google Chrome

Si haces muchas compras en línea, incluidas compras en pequeñas empresas y vendedores privados, te recomendamos utilizar una tarjeta independiente. Guarda una cantidad pequeña en ella y transfiere el dinero justo antes de que lo necesites. De esta manera, incluso si te roban los detalles de la tarjeta, no perderás mucho dinero.

4. Utiliza contraseñas diferentes

Si utilizas la misma contraseña para cuentas distintas, incluso si es una contraseña muy confiable, te arriesgas a comprometer todas tus cuentas si la ingresas en un sitio web de suplantación de identidad en algún momento. Es importante utilizar una contraseña única para cada sitio web y aplicación.

Si se te dificulta crear y recordar docenas de contraseñas por cada restaurante y tienda en línea, utiliza un administrador de contraseñas para crear, gestionar y utilizarlas.

Un administrador de contraseñas también actúa como una verificación adicional para evitar el phishing. Si abres una aplicación o sitio y te das cuenta de que no completa automáticamente tu información de inicio de sesión y contraseña, entonces lo más probable es que sea falso. Para un humano, podría parecerse al sitio web real, pero tienen una dirección diferente, por lo que el administrador de contraseñas no completará las credenciales de la cuenta.

En segundo lugar, los administradores de contraseñas pueden generar contraseñas que sean difíciles de descifrar.

En tercer lugar, algunos administradores de contraseñas tienen funciones adicionales útiles. Por ejemplo, Kaspersky Password Manager verifica tus contraseñas y te notifica si son débiles, si se utilizan para otras cuentas, o si ya están en la base datos de contraseñas comprometidas.

5. Activa la autenticación de dos factores para proteger tus cuentas

El objetivo de muchos ataques de phishing es secuestrar cuentas, pero incluso si los atacantes obtienen tu información de inicio de sesión y contraseña, aún puedes evitar que inicien sesión en tu cuenta al activar la autenticación de dos factores siempre que sea posible. Una vez que lo hayas hecho, necesitarás un código de verificación temporal adicional para iniciar sesión. Lo recibirás por correo electrónico, texto o en una aplicación de autenticación.  Los atacantes no lo obtendrán.

Sin embargo, ten en cuenta que quienes distribuyen el phishing también crean páginas de inicio de sesión falsas que también solicitan los códigos de autenticación de dos factores de un solo uso. Por esto es mejor proteger las cuentas importantes utilizando autenticación basada en hardware con una llave USB como YubiKey o Titan Security Key de Google.

Algunos autenticadores utilizan NFC y Bluetooth para conectarse a los dispositivos móviles. La ventaja de utilizar una llave de seguridad basada en hardware es que nunca revelará el secreto en un sitio web falso. Un sitio web necesita enviar la solicitud correcta para obtener la respuesta correcta del autenticador, y esto es algo que solo el sitio web real sabe cómo hacer.

6. Utiliza protección de confianza

Ciertamente es difícil estar siempre en busca de señales de alerta y verificar cada dirección, enlace, etc. Pero es una tarea que puedes automatizar, y puedes confiar en las soluciones de seguridad como Kaspersky Security Cloud para protegerte contra el phishing. La protección basada en la nube te notificará a tiempo si tratas de entrar en una página maliciosa y bloqueará la amenaza.

Consejos