Igual que en la vida real, a través de Internet también pueden asaltarnos y robar lo que tenemos que, en el caso del phising, son datos. Te contamos todo sobre este modelo informático abusivo.
Phishing
Se trata de un engaño sofisticado para que proporciones tus datos personales. Su objetivo final es obtener datos bancarios, números de cuenta, tarjeta y claves personales con los que acceder a nuestra cuenta bancaria y quitarnos el dinero depositado allí.
Estos ladrones virtuales, aunque utilizan Internet, acaban robando de manera real.
Además, ten en cuenta que cada vez se utiliza más el móvil o la tableta para efectuar compras a través de la red y existen muchas redes wifi abiertas, por lo que pueden acceder a tus datos de una forma relativamente fácil.
Cómo roban mis datos
Actúan a través del correo electrónico, las redes sociales como Facebook o aplicaciones como WhatsApp, por ejemplo. También a través de SMS (mensajes cortos) o MMS (mensajes multimedia del teléfono). A veces utilizan llamadas telefónicas, pero es menos habitual.
Suplantan la identidad de una empresa en la que confías o a la que sueles comprar artículos y servicios. Por ejemplo, bancos, agencia tributaria, seguridad social o Amazon, entre otras muchas.
Envían un correo electrónico en el que te avisan de un supuesto perjuicio y te invitan a pulsar sobre un enlace incluido en el texto, para que cambies algún dato.
Sin embargo, ese enlace no lleva a la web auténtica, sino a otra en la que van a quedar grabados tus datos. Así, ya pueden acceder a tus cuentas como si lo hicieras tú y realizar el robo con total tranquilidad.
De forma simple, hacen esto:
– Fijan su objetivo. Este suele ser una empresa con muchos usuarios, como un banco.
– Copian la web de la empresa.
– Crean un mensaje con una supuesta amenaza o advertencia. Dentro del mensaje va la invitación a clicar sobre un enlace determinado, para solucionar el problema planteado.
– Envían ese mensaje a todo el mundo.
– Si te asustas, pulsarás de forma instintiva ese enlace para entrar a tu web. En realidad, te están redirigiendo a la suya.
– Comienzas a rellenar los formularios que te van apareciendo. Crees que te proteges de esa forma.
– Cuando envías el formulario, tus datos pasan a pertenecer a los ladrones y has caído completamente en la trampa.
– A veces, instalan código malicioso (malware) a través de los enlaces o adjuntos, para recopilar los datos que circulen por tu ordenador, sin que lo sepas.
¿Y cómo me doy cuenta del engaño?
– No reconoces al remitente.
– El mensaje no está personalizado y comienza con «Estimado cliente» o «Estimado amigo». O contienen un número de referencia que no puedes contrastar.
– Puede que envíen un mensaje aparentemente oficial, pero desde cuentas que no tienen nada que ver con la empresa. Por ejemplo, Gmail, Hotmail o Yahoo.
– El mensaje contiene vínculos para que accedas a una web. No los pulses.
– También puede incluir algún archivo adjunto para que lo descargues. No se recomienda bajo ningún concepto.
– A veces la dirección del remitente parece venir de una persona o entidad que conoces, pero ten cuidado si no has solicitado ningún mensaje de ellos. Incluso pueden enviar el mensaje desde la cuenta de otra persona sin que lo sepa, como trampolín.
– No des por supuesto que los datos y vínculos incluidos en el mensaje son correctos. Pueden incluir algún código malicioso.
– Si pasas el cursor por encima del enlace, sin pulsar, verás la verdadera dirección a la que te conduce. Y si no es la acostumbrada, desconfía.
– Ten mucho cuidado con los vínculos cortos. Ahí no sabes dónde vas hasta que entras.
– Aunque los antivirus y cortafuegos son herramientas eficaces para protegerte, no son infalibles. Así que no bajes la guardia en ningún caso.
– Ante la duda, contacta con la entidad, empresa o persona por otro medio, para verificar si realmente el mensaje viene de ellos o es un fraude.
Por qué es una amenaza ante la protección de datos
Hay muchas empresas que recogen datos personales de los usuarios. Cuando te das de alta en cualquier servicio o web, tienes que proporcionarlos.
Por eso, todas las empresas y personas físicas que ofrecen algún servicio o producto a través de la red, están obligadas a proteger sus bases de datos de posibles atacantes, porque pueden ser demandadas y sancionadas por no protegerlos adecuadamente.
Si tienes una web en la que ofreces algún producto o servicio, tienes la obligación de realizar acciones para la protección de datos de terceros que recopiles, con el riesgo de que te demanden si te los roban.
Por eso, el phising se considera una amenaza.
Recomendaciones para protegerse y cumplir la LOPD
Además de todos los consejos anteriores, si recopilas datos a través de tu web deberías:
– Informar a los visitantes de que utilizas cookies que recopilan sus datos y también de la política de privacidad de tu empresa.
– Incluir en la Agencia de Protección de Datos todos los datos que recojas y mantener el registro actualizado.
– Proteger tus equipos informáticos con antivirus y cortafuegos.
– Si no has podido evitar caer en la trampa de los hackers, contacta inmediatamente con la empresa que haya sido suplantada. De esa forma, sabrán del robo y tomarán cartas en el asunto.
– Si es necesario, contacta también con tu banco y controla todos los movimientos de tus cuentas bancarias regularmente, por si detectas alguna anomalía.
– Borra siempre las cookies del navegador cuando termines la sesión y, si la situación lo requiere, denuncia legalmente.
Adaptarse al RGPD
Además de la LOPD, a partir del 25 de mayo de 2018 se aplicará también el Reglamento General de Protección de Datos. En realidad, está en vigor desde mayo de 2016.
El RGPD es válido en España, Europa y, con ciertos criterios, en el resto del mundo. Con este reglamento se amplían las medidas de protección, los métodos de auditoría y las sanciones.
En definitiva, el phising es una amenaza tanto para usuarios como para empresas y organizaciones. Puedes quedar expuesto a una agresión virtual. Por eso, si tienes información y no bajas la guardia, podrás protegerte mejor y actuar cuando sea necesario.