Ejemplos de phishing

En artículos anteriores como "¿Qué es el phishing?", "Cómo reclamar la devolución del dinero sustraído mediante phishing" y "He sido víctima de un ataque de phishing, ¿cómo puedo recuperar mi dinero?", hemos abordado los fundamentos de esta estafa y cómo protegerse legalmente. En esta entrada, nos centraremos en analizar cómo se materializa el phishing, con ejemplos reales y claves para identificar estos correos fraudulentos.

¿Qué es el phishing? Una breve definición

El phishing es una técnica de engaño que emplean los ciberdelincuentes para suplantar la identidad de entidades legítimas, con el objetivo de obtener datos personales, bancarios o confidenciales. Aunque puede darse en diferentes formas (SMS, llamadas, etc.), en este artículo analizaremos ejemplos realizados a través del correo electrónico, la forma más tradicional de este tipo de estafas.

¿Cómo se materializan los ataques? Ejemplos prácticos de phishing

En un ataque de phishing, el estafador suplanta la identidad de una entidad pública o privada confiable, como bancos o empresas reconocidas, para engañar a la víctima. A continuación, veremos ejemplos reales y analizaremos las señales que los delatan.

1. Ejemplo de phishing: Amazon

Imagina que recibes un correo que aparentemente proviene de Amazon, una plataforma que probablemente uses con frecuencia. Este correo alerta sobre "un acceso no autorizado a tu cuenta" y te insta a verificar tus datos. Aunque parece legítimo a simple vista, un análisis detallado revela errores sospechosos:

1. Redacción deficiente:
   • El texto repite palabras innecesariamente ("cuenta", por ejemplo).
   • Las frases son inconexas y mal estructuradas, lo que podría indicar traducciones automáticas.
2. Errores en el diseño:
   • Falta un signo de interrogación en "¿Cómo desbloqueo mi cuenta?".
   • En el último párrafo, se usa una técnica de presión psicológica al establecer un plazo de 24 horas para evitar el "bloqueo permanente".
3. Enlaces sospechosos:
   • Al pasar el cursor sobre los botones del correo, el enlace no dirige al dominio oficial de Amazon.

Lección: Desconfía de correos que contienen errores gramaticales o solicitan acciones inmediatas y verifica siempre los enlaces antes de interactuar con ellos.

2. Ejemplo de phishing: Visa

Un correo que aparentemente proviene de Visa indica "actividad sospechosa" en tu cuenta y te pide ingresar tus datos para solucionarlo. Sin embargo, este correo presenta errores que lo delatan:

1. Asunto del correo inapropiado:
   • Visa jamás usaría un asunto genérico o alarmante sin detallar el problema.
2. Dominio falso del remitente:
   • El correo proviene de "visahome.com", un dominio que no pertenece a Visa. Puedes confirmar los dominios legítimos de cualquier empresa buscando en su sitio oficial.
3. Enlaces fraudulentos:
   • Al pasar el cursor por los enlaces, dirigen a páginas web cuyo dominio no coincide con el de Visa.

Lección: Nunca ingreses datos personales en páginas cuyo dominio no esté relacionado con la entidad legítima.

3. Ejemplo de phishing: Banco Santander

Este ataque es más sutil. Recibes un correo corto con el logotipo de Banco Santander que afirma que hay "una actualización pendiente en tu cuenta". Aunque el mensaje parece confiable, hay pistas que revelan que es un fraude:

1. Remitente sospechoso:
   • Aunque el nombre del remitente puede parecer correcto, el correo electrónico asociado no pertenece al banco.
2. Estilo visual incorrecto:
   • El correo usa colores y estilos que no son coherentes con la imagen corporativa del banco (en este caso, verde en lugar de rojo).
3. Sensación de urgencia:
   • Frases como "actualización pendiente" o "actúa ahora" buscan que reacciones sin analizar.

Lección: Si tienes dudas, contacta directamente con tu banco utilizando los canales oficiales.

Consecuencias legales de los ataques de phishing

Si un ataque de phishing se consuma, la entidad financiera tiene una responsabilidad cuasi objetiva en caso de operaciones no autorizadas, según el artículo 44 del Real Decreto-ley 19/2018 de Servicios de Pago. Este establece que el banco debe devolver el importe de las operaciones fraudulentas, salvo en dos supuestos:

1. Fraude del cliente: si la víctima actuó de forma intencionada para perpetrar el fraude.
2. Negligencia grave: cuando la víctima no tomó precauciones razonables para proteger su cuenta.

En este sentido, cuanto más veraz sea el mensaje del estafador, menor será la posibilidad de considerar negligente a la víctima. Esto refuerza las probabilidades de éxito en la reclamación.

La Sentencia de la Audiencia Provincial de Valencia (Sección 9ª) de 22 de julio de 2022 destaca que los bancos deben garantizar medidas de seguridad adecuadas para prevenir fraudes, incluso cuando los clientes sean víctimas de suplantación de identidad.

Cómo evitar ser víctima de phishing

1. Verifica los remitentes: asegúrate de que los correos provengan de dominios oficiales.
2. No ingreses datos sensibles: evita introducir datos en enlaces proporcionados en correos sospechosos.
3. Actúa con cautela: si un correo genera dudas, ponte en contacto directamente con la entidad que supuestamente lo envió.
4. Mantén la calma: los estafadores usan la presión psicológica para que actúes rápido y sin pensar.

Conclusión

El phishing sigue siendo una de las estafas más comunes en la era digital. La clave para protegerte está en identificar los errores en los correos fraudulentos y actuar con precaución. Si eres víctima de un ataque, recuerda que tienes derechos protegidos por la ley y puedes reclamar la devolución de tu dinero con el respaldo de abogados especializados en phishing.