Cómo detectar correos electrónicos fraudulentos y evitar que te suplanten la identidad

MADRID, 22 Mar. (EDIZIONES) -

Este 6 de abril se pone en marcha la Campaña de la Declaración de la Renta del año 2015 y, como en pasados años, numerosos ciberdelincuentes aprovechan este periodo (que dura hasta el mes de junio) para mandar correos electrónicos fraudulentos con el objetivo de conocer datos personales y bancarios de los usuarios y poder suplantarles la identidad.

Esta práctica se denomina Phishing y consiste en el envío de emails firmados falsamente por la Agencia Tributaria o por alguna entidad bancaria con el asunto 'Mensajes de devolución de impuestos' o similares. En ellos se invita a los usuarios a clikar un enlace para rellenar un formulario con datos personales con la excusa de devolverles cierta cantidad de dinero, según informa la Policía Nacional en su página web.

Los datos que piden facilitar son el nombre, el DNI, el número de tarjeta de crédito, la fecha de caducidad, el código PIN de la cuenta bancaria y la fecha de nacimiento. Datos que, según el Cuerpo, ninguna entidad bancaria ni organismo oficial "solicita a través de email o formulario".

ATENCIÓN a la nueva oleada de phishing que se hace pasar por la Agencia Tributaria, que instales un archivo #NOPIQUES pic.twitter.com/oWf4vUZoAH

— Policía Nacional (@policia) 10 de marzo de 2015

Por ello, el Cuerpo insta en las redes sociales a 'no picar' ante estas prácticas.

? ¡Ya está aquí! #Renta2015. Pero ojo, los cibermalos están al acecho. No piques? #phishinghttps://t.co/Ro5ow07rU6 pic.twitter.com/foXpN80Ivk

— Policía Nacional (@policia) 6 de abril de 2016

Lamentamos decirte que no te devolverán ni un euro, es #phishing. El objetivo: robar tus datos personales #nopiques pic.twitter.com/vdwzEc1PO8

— Policía Nacional (@policia) 15 de febrero de 2016

¿A TRAVÉS DE QUÉ OTROS MEDIOS PUEDEN HACERTE PHISHING?

Los ciberdelincuentes no solo se realiza phishing en las campañas del IRPF sino también en otros momentos y por otras vías y medios.

Según la Oficina de Seguridad del Internauta, los infractores se hacen pasar por bancos y cajas (BBVA, Caja Madrid, ING Direct...), pasarelas de pago online (PayPal, Mastercard, Visa...), redes sociales (Facebook, Twitter, Instagram, Linkedin...), páginas de compra/venta y subastas (Amazon, eBay...) y juegos online.

También operan para suplantar la identidad y robar dinero por soportes técnicos y de ayuda (helpdesk), de empresas y servicios (Outlook, Yahoo!, Apple, Gmail...), de servicios de almacenamiento en la nube (Google Drive, Dropbox...), de servicios o empresas públicas (Agencia Tributaria, Policía Nacional o Guardia Civil...), así como de servicios de mensajería (DHL, MRW...) o de falsas ofertas de empleo.

#GDTAlerta Nos reiteremos, mail haciendose pasar por @Correos notificandote recepción de paquete #NiCaso es #Malware pic.twitter.com/Rs6xMSSQRA

— GDT Guardia Civil (@GDTGuardiaCivil) 17 de marzo de 2016

¿CÓMO EVITAR FACILITAR DATOS PERSONALES A CIBERDELINCUENTES?

Para evitar ser engañados de esta forma, el Grupo de Delitos Telemáticos Unidad Central Operativa de la Guardia Civil (GDT) informa:

1. La Agencia Tributaria, así como ninguna entidad bancaria, nunca solicitará mediante correo electrónico tus credenciales de acceso a banca online o datos de tus cuentas bancarias y tarjetas de crédito.

2. Nunca deberás aportar las credenciales bancarias mediante correo electrónico, aunque en el mismo soliciten urgentemente las mismas ante cualquier vicisitud. Siempre que recibas este tipo de solicitudes investígala con la entidad o con la propia Agencia Tributaria, según cada caso.

3. Cuando recibas un correo electrónico de cualquier entidad comprueba que el correo proviene de una cuenta de correo electrónico corporativa, nunca debes dar como válidos los que provengan de cuentas de correo ajenas al servicio que se pone en contacto contigo.

4. Si en el correo electrónico te proponen un acceso a una página web comprueba que la dirección de la misma corresponde con el organismo oficial, en este caso la Agencia Tributaria, o el banco que presuntamente te contacta.

5. Instala un antivirus con navegador actualizado para que reciba un aviso de intento de phishing en el caso de acceder a una página maliciosa.

Asimismo, las soluciones que ofrece el portal 'Panda Security' para reducir el riesgo de sufrir un ataque de phishing son las siguientes:

1. Verifica la fuente de información: no contestes automáticamente a ningún correo que solicite información personal o financiera.

2. Escribe la dirección en el navegador de Internet en lugar de hacer clik en el enlace proporcionado en el correo electrónico.

3. Comprueba que la página web en la que se ha entrado es una dirección segura (ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado del navegador).

4. Revisa periódicamente las cuentas para detectar transferencias o transacciones irregulares.

5. Haz un análisis del equipo y comprueba si está libre de phishing.

La práctica de phishing puede realizarse por varios medios. Uno de ellos es también a través de Google, que solicita tu usuario y contraseña de la cuenta de correo electrónico:

#PHISHING haciéndose pasar por #Google. Intentan obtener tus datos. #NOPIQUES. Directamente #DELETE pic.twitter.com/wX7qbEI3mO

— Policía Nacional (@policia) 3 de marzo de 2016

Se trata de un engaño más. La URL facilitada lleva al usuario a una web falsa que simula ser la página de login de Gmail. En caso de que la persona introduzca su usuario y su contraseña, habrá caído en la trampa y los cibercriminales robarán las credenciales.