Tabla de contenidos
- 1 Claves para detectar un correo de phishing
- 1.1 Clave 1: El remitente
- 1.2 El asunto
- 1.3 El contenido
- 1.4 Enlaces, botones y adjuntos
- 1.5 Tipos de phishing
- 1.5.1 Phishing relacionados con compras
- 1.5.2 Phishing de mensajes bancarios
- 1.5.3 Phishing por premios inesperados, negocios milagrosos, dinero de parte de personas, organizaciones o entidades públicas
- 1.5.4 Phishing en mensajes de alerta exagerada
- 1.5.5 Phishing por suplantación de identidad
- 1.5.6 Phishing en solicitudes de ayuda
- 1.6 Conclusión, detectar el phishing no es complicado, solo hay que estar atento.
Claves para detectar un correo de phishing
Un correo de phishing nunca es perfecto. Siempre hay pistas que nos permitirán detectar cuándo se trata de un correo malicioso y cuando no. Todos podemos convertirnos en expertos a la hora de detectar este tipo de correos, solo tenemos que estar alerta y saber observar las señales correctamente.
Esta no es una guía solo para el ámbito profesional, también para tu vida personal, para que puedas sentirte a salvo del phishing; no olvides pasársela a quién tú quieras o creas que pueda ser de utilidad.
Para detectar cuando un correo —o mensaje SMS, o incluso WhatsApp— debemos fijarnos en una serie de elementos y analizarlos con un poco de sentido común, poco más. Si sabemos mirarlos con cierta objetividad, podremos, si no detectar directamente, al menos ponernos en alerta para contrastar el email recibido con expertos de seguridad de nuestra empresa, entes públicos o compañeros que se hayan visto en otras parecidas.
Clave 1: El remitente
En el caso del email, la dirección de email desde la que nos llega el email. No os fiéis del nombre que acompaña a la dirección de email, id siempre a la dirección en concreto.
Las direcciones de phishing siempre tienen algo raro:
- El nombre de la dirección de email no encaja con lo que se supone que tiene que ser, como cuando intentan hacerse pasar por alguien que conocemos: familiar, amigo o compañero de trabajo.
- El dominio de la dirección es genérico o directamente desconocido, o no encaja con el asunto del email. Un banco, por ejemplo, nunca nos enviará una comunicación desde gmail, o un dominio que no sea el suyo propio; puedes ir hasta su web para comprobar su dominio real.
- La dirección de email o su dominio tienen un nombre raro, con muchos números o letras, o nos son totalmente desconocidos.
- El nombre del email es demasiado parecido al asunto o razón del email: ganardinero@gmail.com, por ejemplo.
- Simplemente, dudamos del remitente, porque hay algo que no nos gusta o encaja.
Cuando en cualquier email nos pidan datos confidenciales o nos soliciten dinero por cualquier causa, si no consideramos la dirección de procedencia 100% fiable, deberemos parar ahí y empezar a dudar de su veracidad. Lo mejor, acudir rápidamente al experto en seguridad más cercano: el departamento de IT de tu empresa, las autoridades competentes o cualquier persona que conozcas que pueda ayudarte a comprobar la veracidad del mismo.
Por eso, por encima de todo, si dudas, no hagas nada y pregunta, nunca sabes cuándo puede tratarse de phishing.
El asunto
El asunto del email es donde los scammers mejor demuestran su habilidad y experiencia, pero eso no quita para que podamos seguir encontrando sus debilidades. ¿Qué tipo de cosas deberían hacernos dudar de si es phishing o no?
- Faltas de ortografía o errores en la escritura del asunto.
- Mezclas o alternancias entre idiomas que nos resulten extrañas.
- Modismos o formas de expresarse que no encajan con el remitente o con nuestra forma normal de comunicarnos.
- Llamadas a la acción demasiado obvias, irreales o de promesas exageradas, sobre dinero o ganancias fáciles y explícitas.
- Desconfía también de asuntos demasiado alarmistas, tipo: “detectado problema de seguridad”, “peligro, cuenta bloqueada”, “acción inmediata requerida”.
El contenido
La tecnificación en el phishing ha llegado a extremos bastante importantes y, hoy en día, los emails pueden tener una apariencia casi idéntica a la de aquellos que pretenden suplantar, como bancos, empresas de seguros o grandes retailers.
Aun así, siguiendo un análisis parecido al que hemos hecho para otros elementos, podemos seguir desvelando los errores de estos especialistas del engaño.
¿Qué cosas debemos mirar en el cuerpo de un email para saber si estamos ante un caso de phishing?
- Errores de ortografía o gramática demasiado evidentes y que hacen que la lectura del email resulte extraña e incluso difícil.
- Diferencias entre la forma de expresión del email y otras comunicaciones de la organización o persona que intentan suplantar. Ejemplo: un banco siempre nos tratará con el mismo nombre, de la misma forma y con fórmulas similares; nuestro amigo, compañera o familiar nos hablará de forma natural y no mediante fórmulas demasiado formales.
- Busca rasgos de personalización, tanto si es un email profesional como personal; los emails de phishing no suelen estar personalizados y suelen ser muy genéricos, utilizando formas básicas como: “Estimado cliente” o “Querido amigo”.
- Desconfía inmediatamente si te piden datos personales, confidenciales o bancarios, tanto si te los piden a través del email como si es a través de un enlace o botón en el propio email.
- Logos o diseños visuales que nos resulten fuera de lugar, deformados o desactualizados. En estos casos, si dudamos, podemos acudir a la página de la organización suplantada o a comunicaciones anteriores y comprobar que los colores, logos y diseños correspondan con el estilo actual.
Enlaces, botones y adjuntos
Es importante no abrir nunca ningún enlace si existe cualquier tipo de duda, ya que lo más probable, es que sea phishing.
Antes de abrirlo, podemos visualizar el enlace si pasamos el puntero del ratón por encima del botón o enlace destacado, o podemos copiar con el botón derecho y pegar ese enlace en un documento word, por ejemplo, para validar su dirección.
¿Qué buscar en estos enlaces de posible phishing?
- El dominio no es claro y presenta elementos extraños, como letras y números que no reconocemos, símbolos extraños o es simplemente demasiado largo.
- El dominio se parece al de la entidad u organización que intenta suplantar, pero sigue siendo distinto: bancosantander.es vs ban-santander.(cualquier cosa).
Si hemos clicado el enlace, algo nada recomendable, todavía podemos encontrar más signos de phishing:
- El enlace redirige a otro enlace distinto.
- La página se parece a la de nuestro banco, pero tiene cosas extrañas, como un diseño no responsive o desajustes en los elementos.
- El enlace nos lleva directos a una página de login, sin pasos previos de ninguna clase.
Cuidado, en donde los scammers más han aprendido y conseguido niveles de excelencia difíciles de igualar es en este punto, siendo capaces de replicar páginas de empresas y entidades con un detalle difícil de desenmascarar. Por eso, lo ideal es nunca clicar en estos enlaces, si existe la más mínima duda.
Y nunca, bajo ningún concepto, descargues ficheros adjuntos sin haberte asegurado antes que todos los elementos del email lo hacen 100% fiable. Ninguna organización va a mandarte datos o información a través de un archivo adjunto, sin haberlo solicitado de forma expresa con anterioridad. Por eso, lo mejor es que nunca descargues ningún tipo de archivo. Pero mucho menos si se trata de ficheros .ZIP, .EXE, o .PKG, en caso de Mac.
Tipos de phishing
Phishing relacionados con compras
Normalmente, son emails que se refieren a compras recientes, o supuestamente recientes, y suelen aludir a problemas con el pago o la factura, reclamando introducir datos personales o financieros para solucionar el problema. Una vez introducimos esos datos, en una web falsificada expresamente, los scammers se harán con nuestros datos.
Phishing de mensajes bancarios
Aunque los bancos suelen avisarnos cuando detectan alguna actividad sospechosa o fraudulenta en nuestras cuentas, hoy en día disponemos de apps que nos avisan a través de notificaciones y, conociendo los casos del phishing, los bancos suelen realizar estos avisos por teléfono, donde podemos asegurarnos de una identificación adecuada. Por eso, hemos de desconfiar de cualquier comunicación inusual del banco a través del email; o SMS, o Whatsapp, si es el caso.
Phishing por premios inesperados, negocios milagrosos, dinero de parte de personas, organizaciones o entidades públicas
Aunque estos emails pueden parecer cosas del pasado, siguen muy vigentes. Son aquellos en que se nos comunican premios o ganancias inesperadas, pero para los que poder cobrar el dinero, debemos entregar una serie de datos personales o financieros. Suelen ser más fáciles de distinguir, pero hay que estar siempre alerta, sobre todo si suplantan a entes gubernamentales, como Hacienda.
Phishing en mensajes de alerta exagerada
Cuando los scammers o phishers utilizan mensajes amenazadores, apelando a una reclamación judicial o institucional, pueden hacer mucho daño. En este tipo de emails emplean supuestas infracciones para reclamarnos dinero, alegando potenciales represalias, difícil de ignorar.
Phishing por suplantación de identidad
Este tipo de emails puede de ser de muchos tipos, pero tiene especial incidencia en el mundo profesional, donde los phishers pueden intentar suplantar a determinadas personas de interés en la empresa, bien para conseguir acceso a los sistemas de la empresa, bien para conseguir beneficios económicos directos, gracias a pagos erróneos o suplantación de identidad en el pago de nóminas y presupuestos. Son un tipo de email difícil de ver en primera instancia y habrá que estar siempre atento a cuando una persona del trabajo, o amigo, nos envíe un email que nos resulte extraño, por cualquier razón de las descritas anteriormente.
Phishing en solicitudes de ayuda
En este caso también pueden darse casos de suplantación de identidad, siendo un amigo o familiar quien nos solicite ayuda desesperada, pero pueden venir también de parte de terceros que, a veces con un conocimiento inesperado de nosotros, apelarán a nuestra humanidad para sacarnos un beneficio económico. No dudemos de que este tipo de mensajes puede también aplicarse al mundo de la empresa, suplantando a compañeros para ayudarles con motivos de lo más prosaico, como un cambio en la cuenta de la nómina.
Para saber cómo prevenirte mejor de este tipo de amenazas a nivel corporativo, te recomendamos que leas nuestro artículo sobre Shadow IT.
Conclusión, detectar el phishing no es complicado, solo hay que estar atento.
Como habéis visto, las formas del phishing son múltiples y las habilidades de los scammers son cada vez más finas, pero recuerda, no abras links de extraños. Analiza: remitente, asunto, cuerpo del correo y consulta si es necesario.
Además, esto puede afectarnos tanto a nivel profesional como personal, o, a alguien de nuestro entorno. No todas las personas cuentan con las herramientas para enfrentarse a estas alarmas de la mejor manera. Esperamos que esta pequeña guía te haya sido útil y, ahora que sabes cómo detectar esto, compartas esta información con quienes creas conveniente.