“Los malos no son los hackers, son los ciberdelincuentes”, phishing o el fraude de toda la vida vía Internet II

En Correos no sólo trabajamos a nivel corporativo sino también de cara a la sociedad. Dentro del phishing podemos dividir dos áreas, por un lado, la comunicación o canal y, por otro lado, la interacción.

El phishing puede llegar por cualquier canal en el que la gente pueda picar, por ejemplo, WhatsApp, Telegram o redes sociales.

Sin embargo, estas comunicaciones por todo tipo de canales necesitan de la segunda área que es la interacción, una segunda web, normalmente. En la inmensa mayoría de los casos, si nosotros no interactuamos con el mensaje fraudulento, no nos pasará nada.

“Siempre y cuando no accedamos a los enlaces que se incluyen en estos mensajes o no proporcionemos datos personales, es estaremos más seguros”.

En cuanto a los pasos para detectar una comunicación fraudulenta, tenemos varios:

•  El primero es que si no tenemos ninguna relación con la empresa que nos envía el mensaje, lo mejor será ignorarlo y borrarlo. Puede parecer algo obvio, pero como consecuencia del ritmo frenético de vida que llevamos hoy en día, es fácil que por las prisas nos descuidemos y terminemos por caer.
• El segundo paso es darnos cuenta de que ninguna empresa nos va a pedir información privada por estos canales digitales. Lo que nos dirán es que accedamos a nuestras cuentas personales en estas empresas y entidades para realizar las acciones que nos pidan. Y, por supuesto, ninguna empresa nos pedirá algo mediante amenazas o coacciones.

“En Correos jamás enviaremos un email amenazándote de quedarnos con tu pedido si no pagas o de ponerte una multa por el pago de unas tasas de aduanas, que es algo muy común en el phishing que hemos detectado”.

Si aún con estos dos consejos terminamos recibiendo y entrando en un mail fraudulento, hay 5 puntos clave para detectarlo y que podamos protegernos:

1. El primero es el remitente, quién nos está mandando el email. En el caso de Correos, si no recibimos la comunicación desde @correos.com u otro de sus dominios oficiales, nunca será un mensaje real de Correos. Es decir, si vemos un dominio muy largo, una dirección rara o palabras traducidas de otro idioma en el remitente, debemos evitar estos emails.
   
   Aunque no tenemos remitentes identificados que se suelan repetir, sí que es común ver remitentes muy parecidos al oficial, como por ejemplo Correos con 3 erres, con dos C, con dos S, etc., para intentar que si lo leemos rápido, caigamos en el engaño.
   
   
2. El segundo es el contenido. Es cierto que los mensajes de fraude cada vez están mejor redactados y diseñados. No debemos olvidar que estos mensajes provienen de organizaciones de crimen organizado que al igual que nosotros, se sientan cada día en sus oficinas a trabajar y perfeccionar estos fraudes ya que da muchísimo dinero.
   
   Por eso cada vez los cuerpos del mensaje son más reales. Aun así, debemos fijarnos en faltas de ortografía, palabras o frases con poco sentido o traducciones de otros idiomas que un remitente oficial nunca haría.
   
   
3. El tercero sería ver qué nos pide el mensaje. Si lo que nos piden es información personal, correos, contraseñas, datos bancarios, etc., tenemos que empezar a sospechar ya que no será algo que haga una empresa seria.
   
   
4. Lo cuarto sería ver si existen en el mensaje enlaces o accesos externos a otras páginas. Si vemos uno, la mejor forma de confirmar si puede ser un fraude es pasar el ratón por encima, siempre sin hacer clic, y se nos mostrará una ventana con la url o dirección de la página. Si en ese momento vemos que no se trata de una dirección conocida u oficial, estaremos casi 100% seguros de que se trata de un fraude. Lo mismo ocurrirá si vemos una url muy larga, con muchos números.
   
   
5. El quinto punto clave de todo email o comunicación fraudulenta es que siempre habrá una apelación o incitación a la acción. Puede ser en un tono positivo, como por ejemplo decirnos que si no pagamos antes de x tiempo perderemos un gran premio o regalo, pero también puede ser en tono negativo, como, por ejemplo, en Correos, donde es común que estos fraudes nos digan que debemos pagar un envío o aduanas si queremos recibir un paquete.

“Siempre se busca esta urgencia o amenaza para provocar la emoción en el receptor y que ya sea por miedo, por sorpresa o por cualquier otra reacción, termine clicando o dando los datos que el estafador busca”.

En Correos hemos detectado 3 casuísticas con diferentes variantes que se repiten mucho en estos ataques y que son pago de aduanas, localización de paquete y pago por envío. Si nos damos cuenta todas incluyen el pago o la necesidad de aportar datos financieros.

En el caso del pago por envío, el mensaje suele ir dirigido a que el receptor está esperando un paquete y para recibirlo debe abonar una cantidad si quiere que se lo envíen y entreguen. Esto es algo que Correos no hace nunca y mucho menos a través de un email.

Suelen ser muy efectivos ya que se envían a millones de personas y de entre todas ellas es común que muchas esperen paquetes enviados por Correos, por lo que terminan por creerlo. Las cantidades que intentan sustraer son pequeñas, de 1,49€, 1,79€, etc.

En el caso del pago de aduanas, se envía un email en el que se pide abonar a través de un enlace cierta cantidad de dinero si queremos que el paquete no quede parado en aduanas. En Correos nunca pediremos el pago de aduanas por esta vía, ya que para hacerlo hay que realizar una serie de pasos desde la web oficial y no pagar directamente mediante un enlace.

En el último caso, la localización del paquete, se cambia el mensaje alegando que se ha perdido el pedido o que hubo un problema con la localización y que para solucionarlo debemos ingresar nuestra dirección o información privada a través de un enlace.

Desde Correos trabajamos mucho estos casos informando a través de redes sociales para que la gente conozca estos fraudes más comunes y los puedan prevenir.

Sí, en las próximas semanas, aunque ya está disponible, comunicaremos el lanzamiento del verificador de email.

“El verificador de email es una herramienta muy útil ya que va a permitir a los usuarios comprobar si los correos que reciben de Correos son fiables o no. Está siempre en correos.es”.

Se incluirá, con cada comunicación que enviemos sobre envíos y paquetería, un código, compuesto por letras y números,  dentro de un recuadro amarillo en la parte inferior del email que nuestros clientes podrán introducir en el verificador y que les confirmará si ese mensaje es seguro y pertenece a Correo

Lo más común para estas empresas es que no hagan nada ya que tienen la concepción de que es difícil, es caro o simplemente que al ser una pequeña empresa no tendrán problemas de ciberseguridad. Pero, hay que tener en cuenta, que existen muchos estudios que demuestran que un gran porcentaje de pymes que reciben un ciberataque terminan cerrando.

Mi recomendación es que siempre que puedan tengan como mínimo a una persona centrada en estas tareas dentro de la empresa. Si además pueden destinar una parte del presupuesto a ciberseguridad, existen cada vez más proveedores nacionales e internacionales que pueden ayudar a garantizar esa seguridad en las empresas.

Aunque pueda parecer que no, siempre merece la pena intentar dejar un pequeño presupuesto a nivel de ciberseguridad.

“A las PYMES les diría que mientras que no sean atacados la ciberseguridad no parece servir de nada, pero si ocurre, puede ser la diferencia entre tener que cerrar la empresa o no”.

Además de contar con equipos de personal especializado, existen muchas herramientas y marcos de seguridad al alcance de todas las pymes que les ayudarán a aumentar su seguridad. Algunos ejemplos son la implantación de un firewall, contar con antivirus a nivel personal y de servidores, mantener actualizados los sistemas operativos de los equipos, gestionar las vulnerabilidades, etc. 

Si necesitan orientación, tanto el Instituto Nacional de Seguridad (INCIBE), como la Oficina de Seguridad del Internautra (OSI), o el Centro Criptológico Nacional (CNN-CERT) ofrecen en sus webs material gratuito para que puedan formarse, así como charlas, formaciones presenciales y servicios específicos para pymes o negocios locales.