El phishing sería la modalidad de estafa realizada a través del correo electrónico. Así, el delincuente envía un email suplantando la identidad de un tercero (el banco, la administración, la compañía de teléfono o de la luz…) con el fin de hacerse con los datos del receptor. En muchos casos, el atacante llega incluso a crear una web de apariencia legal con el fin de aumentar la posibilidad de engaño.
Este último dato no resulta baladí en tanto en cuanto en muchas ocasiones los correos fraudulentos contienen logotipos o imágenes que no son las de las entidades suplantadas o los mensajes tienen claros errores ortográficos y gramaticales. Este punto es importante de cara a identificar el email como sospechoso y, en consecuencia, no proceder a seguir las órdenes que en él se indican.
Por otro lado, estas órdenes suelen transmitir la sensación de urgencia para que el cliente no se pare a analizar el mensaje y actúe de inmediato. Suele indicarse que sus datos están en peligro o incluso que se han llevado a cabo una serie de operaciones sospechosas en su cuenta.
El último paso del phishing es llevar a la víctima a una página trampa o a recibir mediante contestación por vía electrónica los datos de acceso de éste. Una vez se produce esto, el delincuente suplantará tu identidad y transferirá tus fondos a otras cuentas. Desde estas cuentas, además, el dinero seguirá siendo movido para que el rastro sea difícil de seguir, saliendo habitualmente el dinero de España o siendo retirado desde cajeros.
Reconocer el phishing: una tarea crucial
En la propia definición de phishing que se ha dado previamente, tenemos las pistas acerca de cómo reconocerlo. Así, es conveniente siempre realizar las siguientes comprobaciones:
- Vemos si nos piden nuestros datos de acceso. Tu banco o la entidad remitente nunca va a solicitarte esta información.
- Verificamos el remitente. Si el nombre nos es desconocido o la dirección de correo electrónico parece sospechosa, es mejor desconfiar. No obstante, la técnica informática de los atacantes ha mejorado de tal manera que pueden suplantar perfectamente el email o el número de la entidad remitente.
- Revisamos el lenguaje empleado en el mensaje. Un claro indicativo son los errores de ortografía, gramática o redacción, los cuales suelen ser indicativos del uso de traductores automáticos por parte de los ciberdelincuentes.
- Comprobar la dirección URL real del enlace. Un usuario poco avanzado en la informática no sabrá esto, pero los enlaces se pueden disfrazar. En este punto es importante pasar el cursor del ratón sobre el enlace para ver si coincide con el que se muestra en primer término. Además, puede ser una señal de phishing el hecho de que la URL no coincida con la del propio email enviado. Es decir, que el correo sea del [email protected] y el enlace te dirija a la URL bancaotlantico.es. Como ves, los cambios pueden llegar a ser muy sutiles.
- Si todo parece correcto, puedes acceder a tu banco o a la entidad remitente no desde el enlace del correo, sino desde su URL introduciéndola en el navegador o realizando una búsqueda en Google. De este modo, si de verdad se ha producido una incidencia, te aparecerá reflejada en la dirección real y no te arriesgas a seguir un enlace potencialmente sospechoso.
- En última instancia, puedes llamar a tu banco o a la entidad remitente para consultar si la incidencia es real.
Estas seis tareas son claves para resultar estafado. Si las sigues todas, no serás víctima de un phishing, no obstante, si las sigues casi todas pero finalmente acabas siendo engañado, podrás al menos justificar que no tuviste un comportamiento imprudente o doloso, ya que hiciste comprobaciones. Lo anterior resulta crucial de cara a una futura reclamación con base a lo que dispone la Ley de Servicios de Pago en su artículo 45.
¿Existe algún mecanismo de protección frente a los ataques de phishing?
La respuesta es afirmativa, no obstante, la técnica de los delincuentes ha avanzado lo suficiente como para engañar a los sistemas de correo electrónico (GMail, Yahoo, iCloud…), que en muchas ocasiones no marcan estos mensajes como spam o altamente sospechosos.
Lo que es importante tener claro es que el phishing no depende ni del dispositivo ni del sistema operativo, ya que su medio de propagación es el correo electrónico, al cual podemos acceder incluso desde el coche. La mejor estrategia para evitar caer en la trampa de los delincuentes es el sentido común y seguir las indicaciones del epígrafe anterior sin saltarse ninguna.
En los últimos años, los navegadores web también se han convertido en mecanismos de protección al marcar de forma automática los sitios que resultan sospechosos. A ellos se le han sumado los antivirus que revisan la navegación web reforzando la seguridad. A pesar de esto, la realidad es que si pueden engañar a Google (Gmail), pueden engañar a casi cualquiera.
¿Qué podemos hacer si ya hemos caído en la trampa?
Si caemos en la cuenta de que hemos sido engañados, la velocidad de la reacción se vuelve crucial. Si nos damos cuenta justo al momento, tendremos que cambiar las claves y datos personales que hemos dado, bloqueando la cuenta incluso. Asimismo, resulta esencial llamar a la entidad suplantada para informar del hecho y que se impliquen para hacer lo necesario para que no se hagan con nuestros ahorros.
La celeridad también resulta clave si nos damos cuenta cuando ya han sustraído nuestro dinero. La Ley de Servicio de Pagos marca un plazo máximo de trece meses para notificar la incidencia, no obstante, es esencial informar cuanto antes para que los bancos o entidades suplantadas para que se pongan en contacto con los destinatarios del dinero robado.
Por último, deberás denunciar la estafa ante las autoridades con el fin de recuperar tu dinero. La apertura de un procedimiento penal no obstáculo para iniciar una acción civil frente a la entidad bancaria de la que eres cliente.
La prevención: el arma más eficaz para evitar ser víctima de phishing, pero no la única
Tal y como habrás podido leer en los apartados anteriores, la prevención es tu mejor baza frente al phishing. Resulta esencial revisar los mensajes potencialmente sospechosos para evitar caer en la trampa. No obstante, si pese a todo, acabas siendo víctima de este tipo de estafas, has de saber que dispones de dos acciones judiciales para recuperar el dinero. La primera de ellas es la más larga, pero siempre necesaria: la penal. Sin embargo, existe una segunda vía, la civil, que te permitirá exigirle la devolución de tus ahorros a tu propia entidad bancaria.