La mayoría se producen a través de SMS falsos haciéndose pasar por entidades bancarias y, en ocasiones, suelen emplear un tono amenazante en sus mensajes para instar a tomar acción de forma inmediata.
¿Has recibido un mensaje sospechoso que te solicita información personal? Quizás te ha llegado un correo electrónico o SMS de un banco solicitando tus datos de acceso o un enlace que parece seguro, pero te genera dudas.
Si te encuentras en esta situación, es posible que hayas sido víctima de un intento de phishing. Este tipo de fraude está cada vez más en aumento, y reconocerlo a tiempo es vital para proteger tu información y tu dinero.
En este artículo, te explicamos cómo detectar casos de phishing, qué hacer en caso de sufrir uno, y cómo denunciarlo para minimizar los daños.
¿Qué es el phishing y cómo funciona?
El phishing es una técnica de fraude online donde los ciberdelincuentes se hacen pasar por entidades que generan confianza en los usuarios como bancos, plataformas de servicios o incluso organismos gubernamentales, para robar información personal, datos financieros o datos de acceso. Estos ataques suelen llevarse a cabo a través de correos electrónicos, mensajes SMS falsos, o incluso llamadas telefónicas.
El modus operandi común del phishing implica que el usuario reciba un mensaje que parece provenir de una fuente oficial. Este mensaje generalmente contiene un enlace que redirige a una página web falsa diseñada para parecer auténtica, donde se solicita ingresar información personal como números de tarjetas de crédito, contraseñas, o documentos de identidad.
Señales de que podrías estar sufriendo este tipo de fraude online
Detectar un ataque de phishing puede no ser sencillo, especialmente porque estos mensajes están diseñados para parecer auténticos. Sin embargo, hay algunas señales que podrían indicar que estás ante un posible estafa en internet.
1. Remitente sospechoso
Verifica la dirección de correo electrónico del remitente. A menudo, los delincuentes utilizan direcciones similares a las oficiales, pero con pequeñas variaciones.
Nuestro consejo es que consultes la web oficial de la empresa siempre, ya que, por lo general, las entidades usan el dominio de su web en su email oficial.
2. Errores gramaticales y ortográficos
Los correos electrónicos y mensajes legítimos de las entidades oficiales rara vez contienen errores de este tipo. Si notas inconsistencias en el lenguaje, es probable que estés ante un intento de fraude.
3. Urgencia injustificada
Los mensajes de phishing suelen crear una sensación de urgencia, indicando que tu cuenta será suspendida o que debes actuar de inmediato para evitar un problema.
En muchos casos, te urgen a poner tus datos personales para solventar el problema, pero una entidad bancaria, por ejemplo, jamás se comunicará contigo de motu propio en esos términos a menos que tú mismo solicites realizar alguna acción de este tipo como cambiar algún dato de acceso. En cualquier caso, ninguna comunicación por email contendrá tus datos personales.
4. Enlaces sospechosos
Sin hacer clic, pasa el cursor sobre los enlaces en el mensaje. Si la URL no coincide con la del sitio web oficial, es una señal clara de phishing.
5. Solicitudes inusuales de información
Justo como decíamos anteriormente, ninguna entidad legítima te pedirá que proporciones información sensible, como contraseñas o números de tarjeta de crédito, a través de un correo electrónico o SMS.
Tipos de SMS falsos y correos electrónicos de phishing más comunes
-
Suspensión de cuentas bancarias
Algunos correos electrónicos de phishing suelen causar urgencia sobre la suspensión temporal de tu cuenta bancaria debido a actividades sospechosas.
Si recibes un correo con mensajes como “tu cuenta ha sido bloqueada por tu banco” de un banco en el que no tienes cuenta, elimínalo inmediatamente. Si, por el contrario, si tienes cuenta, comunícate directamente con tu entidad para comprobar la veracidad de la comunicación antes de hacer clic en ningún enlace. -
Autenticación de dos factores
La verificación en dos pasos se ha vuelto algo muy común hoy en día, por lo que es probable que recibas correos electrónicos solicitando validar tus datos de acceso. Los estafadores lo saben y tratan de que caigas en el anzuelo, por lo que, si recibes este tipo de email en el que solicitan que inicies sesión en una cuenta para verificar la identidad, comprueba si dicho mensaje es legítimo o no comunicándote con la entidad oficial.
Esto suele ocurrir sobre todo en cuentas que llevan tiempo sin utilizarse, por lo que mantente precavido especialmente en esa situación. -
Confirmación de pedidos
Otra estafa habitual son los correos que simulan ser confirmaciones de pedidos que no has realizado.
Estos mensajes suelen incluir archivos adjuntos que parecen ser recibos o enlaces que ofrecen más detalles sobre el supuesto pedido. Los hackers usan estos métodos para infectar los dispositivos con malware cuando los usuarios interactúan con dichos archivos o enlaces, por eso es importante verificar el dominio oficial de la entidad. -
Devoluciones de impuestos
Los ciberdelincuentes aprovechan la época de la campaña de la renta para enviar correos fraudulentos en nombre de la Agencia Tributaria. No confíes en ese tipo de correos fraudulentos en los que te prometen devoluciones inesperadas de dinero, ya que este organismo siempre contacta por correo postal.
Podemos decir que este tipo de estafas relacionadas con devoluciones de impuestos son de las más peligrosas, ya que suelen solicitar información personal sensible como el número de la Seguridad Social y los datos bancarios. -
Phishing en el trabajo o spear phishing
El phishing también puede atacar a través del correo corporativo de tu empresa. Una de las tácticas más comunes es enviar correos que parecen provenir de un alto ejecutivo de la empresa, solicitando a los empleados que transfieran fondos a supuestos clientes.
Es un ataque mucho más personalizado y es lo que se conoce como spear phishing.
¿Qué hacer en casos de phishing?
Si crees que has sido víctima de un ataque de phishing, lo primero de todo es tratar de no perder la calma y actuar lo más rápido posible.
Es muy probable que puedas recuperar el dinero sustraído por el ciberdelincuente, pero ahora veremos cómo el banco te devuelve el dinero si te estafan.
No interactuar con el mensaje
No respondas al mensaje, no hagas clic en ningún enlace y no descargues archivos adjuntos.
Contacta a la entidad suplantada
Llama a la entidad que supuestamente te ha enviado el mensaje utilizando un número de contacto oficial, no el proporcionado en el mensaje sospechoso, para verificar la autenticidad del mismo.
Cambia tus contraseñas
Si has ingresado tu contraseña en un sitio web falso, cámbiala inmediatamente en el sitio oficial. Asegúrate de usar una contraseña fuerte y, si es posible, habilita la autenticación en dos pasos.
Informa a tu banco
Si has proporcionado detalles bancarios, contacta a tu banco de inmediato para que tomen las medidas necesarias, como la cancelación de tarjetas o la supervisión de transacciones sospechosas. Esto es especialmente relevante en casos donde el banco debe devolver dinero por transacciones fraudulentas.
Denuncia el phishing a las autoridades
Es fundamental denunciar el incidente a las autoridades competentes para que se investigue y se tomen medidas para prevenir futuros ataques.
Lo primero de todo es denunciar a la Policía y comunicarte con INCIBE a través de su web o del buzón incidencias@incibe-cert-es.
También puedes contactar por teléfono con la Guardia Civil para reportar el caso en el departamento de delitos informáticos y te digan cómo proceder.
Considera asistencia legal
En casos donde el daño financiero es significativo, o si el banco se niega a devolverte el dinero (algo que te adelantamos que es lo habitual de primeras), puede ser necesario contratar a abogados especialistas en estafas.
Un abogado con experiencia en reclamaciones bancarias y fraudes online podrá asesorarte sobre las acciones legales que puedes tomar.
¿Cómo puedo denunciar casos de phishing en España?
Como ya hemos visto, denunciar el phishing uno de los primeros pasos tras haber sufrido este tipo de fraude online. De esta forma, tendremos muchas más opciones de recuperar el dinero estafado.
Antes de presentar una denuncia, debes recopilar pruebas, ya que es lo que te va a solicitar la Policía y, sobre todo, la entidad bancaria, cuando presentes la denuncia. Deberás guardar todos los correos electrónicos, mensajes y cualquier otra comunicación relacionada con el ataque. Por ejemplo, si has hecho clic en un enlace, toma capturas de pantalla de las páginas visitadas.
Seguidamente, una vez que la denuncia ante la Policía se ha llevado a cabo, escribe una reclamación formal ante tu banco. En ella, deberás exigir que se restaure el saldo de tu cuenta al estado anterior a la operación fraudulenta y solicitar un reembolso del importe que no ha sido autorizado.
Es más que probable que el banco se niegue a esta petición, pero debes saber qué dice la jurisprudencia del Phishing bancario y esta es clara: “las entidades bancarias tienen la responsabilidad legal de custodiar a buen recaudo los datos e información confidencial de sus clientes”. Así lo recoge el Real Decreto Ley 19/2018 de Servicios de pago en términos de prevención y protección ante el phishing, que añde que “son las entidades bancarias las que manejan los datos de acceso”. De esta manera, las entidades bancarias son las que deben implantar e impulsar mecanismos de seguridad para “verificar la autenticidad de las operaciones”.
Contactar con el hacker sería otra forma de tratar de recuperar el dinero estafado, pero esto es algo que solo debes dejar en mano de las autoridades.
4 acciones para prevenir futuros ataques de phishing
Una vez que has sido víctima de phishing, te recomendamos que sigas manteniéndote alerta para estar protegido de futuros ataques. Aquí te damos algunas recomendaciones:
1. Infórmate de nuevos fraudes
Mantente informado sobre los nuevos tipos de fraudes online. Portales o sitios web como los de las empresas de ciberseguridad publican regularmente actualizaciones sobre las últimas amenazas.
2. Uso de software de seguridad
Instala y mantén actualizado un buen software antivirus y antiphishing en todos tus dispositivos.
3. Autenticación en dos factores
Activa la autenticación en dos pasos en todas tus cuentas importantes. Esto añade una capa adicional de seguridad, dificultando el acceso no autorizado incluso si se roban tus datos de acceso.
4. Verificación constante de cuentas
Revisa regularmente los movimientos de tus cuentas bancarias y estados financieros para detectar cualquier actividad sospechosa a tiempo.
Abogados especialistas en estafas: la solución más eficaz de recuperar el dinero estafado
Seguro te estarás preguntando si, en caso de phishing, el banco devuelve el dinero. Pues bien, si sigues los pasos anteriormente indicados, siempre y cuando se trate de una cantidad pequeña de dinero la que ha sido sustraída, es probable que con las pruebas suficientes puedas recuperar el dinero estafado sin problema.
Sin embargo, no todas las entidades bancarias están por la labor de colaborar inicialmente, ya que suelen desvincularse de su responsabilidad dejando que ésta recaiga en el usuario. En este caso, deberás contar con el asesoramiento profesional de abogados especialistas en fraudes online.
Por ejemplo, en Asoban Abogados conocemos bien los mecanismos jurídicos que nos permite cada día ayudar a recuperar el dinero robado de nuestros clientes.
Si estás en esta situación, no dudes en ponerte en contacto con nosotros. Evaluamos tu caso gratuitamente en la primera llamada. ¡Cuenta con Asoban!