¿Qué es el phishing y cómo puedo evitarlo? • Ézaro Legal

¿Qué es el phishing y cómo puedo evitarlo?

¿No sabes qué es el phishing? Puede que no te suene el término o no sepas indicar a qué se refiere específicamente, pero casi seguro que has sido víctima de esta modalidad de ciberdelincuencia. ¿O nunca has recibido un email o un SMS que aparentaba provenir, por ejemplo, de tu banco, de Correos o de la Agencia Tributaria para acceder a tus datos y contraseñas de forma ilícita? De hecho, de acuerdo con el informe Ignorance is Bliss, de Kaspersky, el 58% de los españoles ha sufrido ataques de phishing y el 15,5%, además, admite que cayó en el engaño. ¿Qué puedes hacer para protegerte frente a esta práctica o, en caso de sucumbir a la estafa informática, cómo solucionar los efectos del phishing?

¿Qué es el phishing? 

Comenzando con el concepto sobre qué es el phishing, se trata de una técnica utilizada por ciberdelincuentes para engañar a las personas y obtener de forma fraudulenta información confidencial, como contraseñas, números de tarjeta de crédito y datos personales. Esta práctica se lleva a cabo mediante el uso de correos electrónicos, mensajes de texto, webs u otras formas de comunicación electrónica que parecen ser legítimos y confiables. A través de estas vías de comunicación, los estafadores (phishers) se hacen pasar por organizaciones o entidades de confianza, como bancos, empresas, redes sociales o incluso administraciones públicas. 

Su objetivo es persuadir a la víctima para que revele información sensible o haga clic en enlaces maliciosos que los redirigen a sitios web falsificados. Por ejemplo, más de una vez habrá llegado a tu buzón un supuesto mensaje de Amazon o Seur indicándote que para que llegue el pedido debes actualizar una serie de datos. No obstante, si pinchas el enlace, te redireccionará a una página falsa donde te solicitará datos personales y financieros. De ahí que el phishing pueda tener graves consecuencias para las víctimas, incluyendo el robo de identidad, la pérdida de fondos o la exposición a fraudes financieros que pueden costarte miles de euros. 

¿Qué tipos de phishing existen? 

Además, uno de los grandes peligros de la estafa que es el phishing es su capacidad para actualizarse y perfeccionarse rápidamente. Así, los contactos son cada vez más realistas y comprenden diferentes formatos. En este sentido, existen muchos tipos de phishing. Estas son algunas de las prácticas más frecuentes: 

  • Phishing de Correo Electrónico. En este tipo, los atacantes envían correos electrónicos falsificados que parecen ser de empresas legítimas. Estos correos suelen contener enlaces maliciosos que redirigen a sitios web fraudulentos o archivos adjuntos con malware.
  • Smishing o phishing de SMS. Es similar al phishing de correo electrónico, pero se realiza a través de mensajes de texto. Los mensajes suelen contener enlaces maliciosos o solicitudes de información personal.
  • Vishing o phishing de voz. En este caso, los estafadores utilizan llamadas telefónicas para engañar a las personas y obtener información confidencial, como números de tarjeta de crédito o contraseñas.
  • Spear Phishing. Es una forma más dirigida de lo que es el phishing, donde los atacantes se enfocan en individuos específicos o empresas. Utilizan información personalizada para aumentar la credibilidad de los mensajes.
  • Whaling. Se dirige a individuos o empresas de alto perfil, como ejecutivos o directores. Los atacantes buscan obtener información valiosa o acceso a sistemas corporativos.
  • Pharming. Los ciberdelincuentes redirigen el tráfico de internet de un usuario a un sitio web falso sin que este lo note. Esto puede llevar a la recopilación de información confidencial.
  • Phishing de redes sociales. Otra variante del phishing tiene lugar cuando los ciberdelincuentes se hacen pasar por amigos o contactos en redes sociales para engañar a las personas y obtener información personal o credenciales de acceso.
  • Clone phishing. Implica la creación de correos electrónicos duplicados de comunicaciones legítimas, pero con enlaces o archivos adjuntos maliciosos.
  • Phishing de suplantación de identidad o CEO Fraud. Los phishers se hacen pasar por altos ejecutivos de una empresa y solicitan transferencias de dinero u otra información confidencial.

¿Cómo evitar el phishing?

Si bien cada vez la ciudadanía está más expuesta a estos ciberataques, también existen fórmulas para protegerte de lo que es el phishing y demás delitos informáticos. No hay nada como estar informado y tomar medidas de seguridad para proteger tus datos personales y financieros contra este tipo de ataques cibernéticos. ¿Cómo evitar el phishing? 

Nueva llamada a la acción

  • Sé escéptico. Cuando recibas comunicaciones de este tipo, muéstrate cauteloso y cuestiona su legitimidad. Usa el sentido común: si te ha tocado un premio, te va a llegar un envío que no has pedido o tienes una oferta de trabajo increíble sin haber echado un currículo, es probable que sea phishing. 
  • Revisa la redacción. En muchos casos de phishing suele haber errores ortográficos, faltas de concordancia o composiciones semánticas extrañas. 
  • Comprueba los enlaces. Puedes corroborar que la dirección del email o teléfono es correcta o los enlaces coinciden con el organismo del que dicen provenir. También es recomendable que no hagas clic en los links que te proporcionan; en su lugar visita el sitio web de la empresa escribiendo la URL en tu navegador.
  • Verifica la fuente. Si aún así tienes dudas, ponte en contacto con la fuente. Por ejemplo, si te mandan un email de tu banco para actualizar ciertos datos de tu hipoteca, llama a tu oficina y pregunta si es así. 
  • Utiliza sistemas de seguridad informática. Para reducir la llegada de estos mensajes maliciosos, habilita programas de seguridad en tus dispositivos, como un antivirus y un software actualizado, una Red Privada Virtual (VPN), filtros antispam o la autenticación de dos factores. 
  • Ten cuidado con el fraude secundario.  Desconfía de correos electrónicos o llamadas posteriores que puedan intentar explotar la información que los atacantes obtuvieron.
  • Denuncia el phishing. Por último, si recibes un correo electrónico o mensaje de lo que es phishing, denúncialo a las autoridades pertinentes y a la empresa afectada para que puedan poner en marcha medidas que frenen esta ciberdelincuencia. 

¿Cómo solucionar el phishing?

Pero incluso adoptando precauciones frente a todo lo que es el phishing, es fácil caer en el engaño. En el caso de haber sido víctima de esta práctica fraudulenta, ¿cómo solucionar el phishing? Existen varias posibilidades. 

Por la vía penal

Una primera opción es denunciar el ataque. Ten en cuenta que el phishing es una de las modalidades del nuevo delito de estafa informática surgido tras la reforma del Código Penal por la la Ley Orgánica 14/2022, de 22 de diciembre para adaptar el ordenamiento español a la Directiva (UE) 2019/713, de 17 de abril. 

Así, las prácticas de phishing acarrean penas de prisión de seis meses a tres años

Por desgracia, detrás del phishing se esconden ciberdelincuentes que actúan a nivel internacional y desde el anonimato. Como resultado, es habitual que no se puedan identificar a los autores del delito informático y la denuncia termine archivandose.

Por la vía civil

¿Esto significa que no recuperarás el dinero que te han estafado? No. Junto a la Jurisdicción Penal, es recomendable acudir a la vía extrajudicial y civil para exigir responsabilidades a los proveedores de servicios financieros.

En este sentido, cabe destacar que las entidades bancarias están obligadas, a través del Real Decreto-Ley 19/2018, de 25 de noviembre, a garantizar la autenticación de sus clientes y mantener unos estándares de comunicación seguros. 

En consecuencia, a la hora de determinar cómo solucionar el phishing, también se debe plantear la exigencia de responsabilidad civil a la entidad financiera por no cumplir con estos requisitos legales de ciberseguridad. Y es que, a falta del consentimiento del usuario de la operación de pago, la misma se considera no autorizada

Ahora bien, es imprescindible actuar con rapidez en estas reclamaciones. Lo primero, notificar el pago indebido al banco sin demora y presentar la reclamación extrajudicial ante la entidad solicitando el reintegro de la cantidad extraída sin consentimiento. Aceptada la petición, la entidad deberá devolver el importe de la operación como muy tarde al final del día hábil siguiente a la notificación de la operación.

De no ser así, el siguiente paso es presentar una demanda por responsabilidad civil contra la entidad financiera. Este proceso trata de evaluar si el proveedor de servicios financieros autenticó, registró y contabilizó la operación de pago y se aplicaron las medidas de seguridad oportunas. 

Por eso, si has sido víctima de phishing, en Ézaro Legal contamos con abogados especializados en Derecho Bancario en constante adaptación a los cambios y novedades legislativas y jurisprudenciales en la materia. De hecho, tres de nuestros miembros forman parte de la Asociación Española de Derecho de Consumo. Además, ofrecemos un servicio profesional caracterizado por trabajar a resultado, es decir, que nuestros honorarios dependen del éxito del asunto encomendado. ¿Te ayudamos a recuperar tu dinero?