Qué es el “phishing” y cómo evitarlo

Esta semana ha sido noticia el ataque a la cuenta de WhatsApp de Albert Rivera, lo cual ha puesto el foco informativo en una práctica denominada "phishing". El objetivo de quienes la perpetran es obtener información de manera ilícita, por ejemplo, números de cuenta o tarjetas bancarias, de identificación personal o contraseñas.

Este método, en realidad, no necesita un software complicado que acceda a nuestro ordenador o teléfono, sino que más bien pertenece a la vieja escuela de la picaresca. A través de mensajes o emails que pretenden ser de organismos oficiales o entidades reconocidas, se nos solicita una información que nosotros entregamos sin ser conscientes de que quienes se ponen en contacto con nosotros no son quienes dicen ser.
En todos los servidores de correo electrónico, hay una sección de "spam" o correo no deseado que nos ayuda a detectar ataques de "phishing". Además, la población se ha ido educando y estamos más en alerta ante este tipo de emails que nos solicitan información personal o, sin que venga muy a cuento, nos piden que pinchemos en determinado enlace con alguna excusa que -si lo pensamos- no es demasiado creíble.
Sin embargo, no estamos tan acostumbrados a que este tipo de acciones nos lleguen a través del móvil. Además, el uso del mismo es mucho más inmediato que el del ordenador; navegamos por la red más rápido y de una manera casi automática. No es de extrañar que Rivera haya, hablando en plata, caído en la trampa.
El procedimiento que se cree que han utilizado para hacerse con el control de la cuenta de WhatsApp del político es bastante sencillo. Los atacantes debieron conseguir el número de Rivera y contactaron con los responsables del servicio de mensajería denunciando que su teléfono había sido robado. Entonces, la compañía tiene que enviar un código para poder volver a activar la cuenta. Rivera recibiría este código de activación. Más tarde, le llegaría un mensaje de los atacantes haciéndose pasar por responsables de WhatsApp pidiéndole que reenviase ese código a otra dirección. Sin sospechar, el catalán entregó la clave de acceso a su cuenta de WhatsApp a los atacantes, que pudieron acceder a ella. Esto no solo les permite acceder a contactos y conversaciones, sino que también pueden suplantar su personalidad.
Una vez vemos cómo operan estos hackers, es bastante sencillo darnos cuenta de que hemos pecado de ingenuos. No tiene demasiado sentido volver a enviar un código a la persona o entidad que nos lo ha enviado. Sin embargo, en el momento es difícil darse cuenta. Por eso, antes de hacer 'click', hay que pensarlo.

¿Cómo evitar el "phishing"?
Estamos expuestos a este tipo de ataques y es prácticamente imposible evitarlos. Lo que sí podemos hacer es tomar precauciones y seguir algunos consejos para saber detectarlos y no morder el anzuelo.
En primer lugar, hay que tener en cuenta la seguridad de los sitios oficiales. Cada vez se exige a las páginas web, especialmente a las que operan con datos sensibles como números de identificación personal o transacciones monetarias, un mayor nivel de seguridad.
Recientemente ha entrado en vigor una nueva normativa para hacer más seguros los pagos online, de manera que haya una doble comprobación de seguridad antes de realizar la transacción. En webs que funcionan como si fuera un banco, en las que tenemos una cuenta con dinero, es necesario hacer una comprobación de la identidad de los usuarios. Por tedioso que pueda parecer, las empresas necesitan documentación para asegurarse de que la información que ofrece el usuario es real. En las diversas casas de apuestas por ejemplo, si son sitios web con licencia, deben hacer este tipo de comprobaciones. Ocurre lo mismo con los monederos electrónicos como PayPal que, dependiendo del volumen de transacciones, nos pueden solicitar documentación para comprobar nuestra identidad. Y también sucede con los certificados digitales utilizados para firmar documentos de manera legal en internet, que se obtienen una vez que la identidad de la persona es comprobada por un organismo oficial.
Esta información nunca se nos solicitará haciéndonos responder a un mensaje o redirigiéndonos a otra página. Estos días, la Agencia Tributaria ha advertido de una campaña de "phishing" y webs falsas en la que se solicitan datos personales o bancarios haciéndose pasar por este organismo. Tal y como establece la propia institución, hay que tener en cuenta que la Agencia Tributaria -como otras organizaciones similares- nunca pide información confidencial por correo electrónico, no realiza pagos a tarjetas bancarias y no cobra por sus servicios.
Es importante que, si recibimos algún mensaje de este tipo, en el que nos piden hacer algo con urgencia o mandar información delicada, nos fijemos en cómo es el mensaje. En primer lugar, hay que comprobar la dirección de email de quien lo envía. No está de más copiar la dirección y en una ventana nueva hacer una búsqueda para comprobar si es real o no, si pertenece en efecto al organismo que se supone que nos manda el correo. Mirar la hora del envío o sospechar si el mensaje está mal redactado, también nos puede ayudar.
En el caso de que se detecte un mensaje de "phishing" es importante denunciarlo a través de la web del GDT (Grupo de Delitos Telemáticos) de la Guardia Civil, para que tengan constancia de ello.