Las entidades bancarias están obligadas a evitar el phishing para defender a sus clientes, os damos una serie de recomendaciones legales para evitar el phishing de una forma efectiva y legal. Os enseñamos que es, cales son sus implicaciones y como evitar e identificar el phising.

¿Qué es el phishing?

El phishing es un tipo de estafa informática, que opera principalmente en entornos bancarios online, consistente en la suplantación de identidad de la entidad bancaria por parte de los estafadores, con la finalidad de obtener información confidencial del usuario, como las contraseñas, datos de tarjetas de crédito o de coordenadas bancarias.

La suplantación de la identidad suele comenzar con un email, que el usuario recibe y que simula ser de su entidad bancaria. El asunto de los correos suele contener palabras tales como “Importante” y signos de exclamación. En dicha comunicación normalmente se hace referencia a que los datos del usuario no están actualizados, que es necesario verificarlos o que se trata de una prueba, y que, en caso de no realizar dicha actualización, se procederá a bloquear la cuenta, siendo necesario que se introduzcan de nuevo, a través del enlace que proporcionan en la comunicación.

Es habitual, además, que los estafadores incluyan algún enlace legítimo que redirija al usuario al sitio de web de la entidad bancaria, lo que induce a pensar que se trata de un correo emitido por su banco.

Si el usuario accede al enlace que le proporcionan en el correo electrónico, de forma automática será redirigido a una web manipulada, que es prácticamente exacta a la web legítima de la entidad bancaria que se ha suplantado, donde todos los datos que introduzca serán almacenados en un servidor remoto que es controlado por los estafadores y empleados con posteridad para la realización de acciones fraudulentas como la suplantación de identidad, el robo de dinero, o la comisión de delitos informáticos o de otra índole en nombre del estafado.

¿Cuáles son las implicaciones del phishing?

A través de este tipo de estafas los delincuentes tienen acceso a los datos personales del usuario, incluyendo datos de sus cuentas bancarias y números de tarjeta, por lo que lo habitual es realizar transacciones o disposiciones de efectivo no autorizadas, o incluso, suplantar la identidad del usuario para contratar productos financieros.

Generalmente, este tipo de casos se distribuye a través del correo electrónico, ya que los estafadores pueden acumular grandes cantidades de direcciones de correo electrónico.

¿Cómo evitar e identificar el phising?

Para poder evitar este tipo de estafas, es importante tener en cuenta que las entidades bancarias nunca van a solicitar contraseñas completas, ni tampoco determinados datos personales, por lo que conviene sospechar de cualquier comunicación recibida pidiendo este tipo de datos, o que amenace con bloquear nuestras cuentas bancarias si no se actualizan los datos.

Normalmente, podemos identificar un caso de phishing si seguimos las siguientes advertencias:

  • El correo electrónico se ha enviado por un remitente que desconocemos.
  • El dominio al que se redirige al usuario no es el mismo que el de la empresa que está siendo suplantada. Para verificar esto basta con teclear la dirección web de la empresa que se supone que envía la comunicación.
  • El asunto del correo es, generalmente, muy llamativo, con la finalidad de impactar al usuario y preocuparle.
  • El texto del mensaje no está bien redactado, hay faltas de ortografía o no se entiende bien.
  • El mensaje no está dirigido de forma personalizada al usuario. Las entidades bancarias suelen personalizar los correos electrónicos que envían a sus clientes, por lo que recibir un correo electrónico sin que aparezca el nombre de usuario al que va dirigido es una señal de peligro.
  • El correo impone un plazo de actuación breve, en general, de unas pocas horas para que el usuario proporcione sus datos, o de lo contrario, se bloqueará la cuenta, o se dejará de prestar un servicio.
  • La dirección a la que redirige el link del correo electrónico no coincide con la dirección real de la página web de la entidad bancaria.
  • Los documentos que se adjuntan tienen extensión .zip o .exe.

Cuando se recibe este tipo de correos sospechosos, los pasos a seguir serían los siguientes:

  • No abrir el correo electrónico y eliminarlo de inmediato.
  • No contestar al correo electrónico en ningún caso.
  • No descargar el contenido de ficheros adjuntos.
  • Verificar siempre que el sitio web en el que navegamos tiene un certificado válido.

En todo caso, ante la duda, sería conveniente ponerse en contacto con la entidad bancaria.

Si quieres más información, ponte en contacto con nosotros