Lo primero, aclaremos el significado del término Phishing.
El término Phishing se utiliza para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial (como una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de un usuario) de forma fraudulenta.
Por ejemplo, hace unos días se produjo un ataque de phishing en nuestro país. Esta vez el ataque de phishing no fue para nada relacionado con un email dónde decía que habíamos ganado la lotería, o que un rey africano quería regalarnos su fortuna por no tener descendencia, o un anuncio sobre la venta de unas pastillas con un súper descuento. Ésta vez el phishing venía directo de una de las empresas públicas más utilizadas por los usuarios: Correos.
Todo empezó la mañana del 15 de octubre de 2019 cuando la cuenta de Twitter de correos empezó a mostrar mensajes bastante inquietantes:
Al poco rato los community manager de Correos consiguieron recuperar el control de la cuenta informando a los usuarios:
Aunque claro está, estos «chistes» que se quedaban en las redes y no hacían daño a nadie… eran una mera distracción. Poco nos íbamos a imaginar, que durante ése mismo día, miles de personas recibirían un SMS con el siguiente texto:
«Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones».
Y al final del SMS un enlace a una pasarela de pago donde podías abonar ese euro. Un SMS inofensivo, con un texto claro, directo y que, si has comprado algo en el extranjero, puedes llegar a pagar ese euro sin pensártelo dos veces.
En este tipo de situaciones, sea como en este caso el de una notificación que trata de dinero (ya sea para pagar o para obtenerlo), desde Pukkas siempre aconsejamos DESCONFIAR, ya venga por email, por un anuncio en la página web más conocida de internet, o por un SMS. Si tenemos las más mínimas dudas sobre la veracidad de la notificación, siempre hay que desconfiar.
Es fácil y bueno buscar en Google sobre el texto que nos acaban de enviar, ya que hay un gran número de empresas que se dedican a advertir de manera totalmente gratuita de estas amenazas.
Y para más precaución (que nunca es poca) podemos llegar a llamar o enviar un email a la empresa que nos ha enviado el mensaje sospechoso. Eso si,siempre buscando el teléfono de contacto o el correo, en el apartado de contacto de la web, y no fiarnos lógicamente del teléfono/correo que pueda haber en la notificación sospechosa). De este modo, además de asegurarnos de no sufrir un ataque de phishing, estaremos ayudando a la compañía atacada a desvelar que tienen un ataque de phishing, y puedan de este modo, tomar las medidas pertinentes para avisar y notificar cuánto antes a otros usuarios.
Noviembre 2019
Félix Sandoval / Programación en Pukkas
