El Phishing es como una caja de bombones
Nunca sabes lo que te puede tocar y nadie está libre de peligro. Son multitud las noticias las que nos llegan sobre casos de phishing o suplantación de identidad, realizadas sobre ciudadanos particulares y a empresas en cualquier lugar del mundo y por supuesto también ocurren en nuestra provincia de Córdoba. En cualquiera de los casos el factor determinante en un ataque de Phishing siempre será el usuario que lo recibe. Esta práctica delictiva lo que persigue es que el usuario comparta sus contraseñas de acceso a servicio, claves bancarias, etc. con los ciberdelincuentes.
Recientemente la Agencia Española de Protección de datos (AEPD) ha publicado su informe sobre Notificaciones de Brechas de datos personales del mes de Marzo de 2022. La normativa que regula los datos personales (RGPD y LOPDGDD) establece la obligación de las empresas que las sufran a realizar una comunicación al organismo regulados (la AEPD). Podemos observar que del número total de las notificaciones hechas (128), las que se han producido como Ciberincidente: Suplantación de identidad (phishing) alcanzan los 33 incidentes notificados, contrastando de forma clara que este tipo de ataques se encuentran entre los más extendidos entre los ciberdelincuentes.
En nuestra comunidad autónoma y en nuestra provincia son numerosos los casos de este tipo de delitos. En Córdoba Se dio el caso de que una madre al querer vender online los libros de texto de su hijo, mediante una plataforma de compra y venta, fue víctima de unos estafadores. Éstos se hicieron pasar por un comprador interesado y le facilitaron un enlace por WhatsApp para que introdujera sus datos para recibir el pago. Esta acción le supuso una pérdida económica de 1810,96 € en varios cargos bancarios, por la compra de los estafadores en varias tiendas de Reino Unido y Rusia. Finalmente, la estafada, gracias a la intermediación de una asociación de consumidores andaluza, pudo recuperar su dinero tras un proceso dificultoso con su entidad bancaria, ya que la entidad la responsabilizaba a ella del fraude aduciendo a que la tarjeta se había usado de forma correcta.
El phishing tiene un campo de actuación amplio. Podemos encontrar el envío de un SMS que ofertan trabajo con unas condiciones de sueldo de entre 100 y 500 € diarios, cuyo objetivo principal es disponer de los datos de los estafados. La Guardia Civil twitteó alertando sobre este tipo de fraude.
También encontramos que mediante el uso de técnicas TTP (tácticas, técnicas y procedimientos) los ciberdelincuentes realizan un fraude aprovechando el comienzo de la campaña de la renta. Este es uno de los casos más habituales de Phishing en la que los estafadores suplantan la identidad de la Agencia Tributaria para engañar a sus víctimas, informándoles de una supuesta devolución de su declaración de la renta.
En la localidad de Puente Genil en la provincia de Córdoba la Policía Local detectó que se estaba produciendo unos intentos de phishing en los que los ciberdelincuentes enviaban SMS haciéndose pasar por Correos.
También se da este tipo de fraude en las Administraciones Publicas. La Gerencia de Urbanismo de Córdoba fue víctima de este tipo de estafa. El hecho se produjo cuando los estafadores se consiguieron pasar por los ejecutores de una de las obras que estaba realizando el Ayuntamiento de Córdoba, solicitando los ciberdelincuentes un cambio en la cuenta en dónde se ingresaban las partidas. Los funcionarios no sospecharon ya que la documentación parecía encontrarse en regla, realizando un primer pago de 400.000€. El segundo pago se encontró con que la cuenta estaba bloqueada ya que se había detectado el fraude. Afortunadamente la mayoría del dinero pudo ser devuelto.
Dada la problemática actual que producen este tipo de delitos damos una serie de consejos de buenas prácticas para no caer en este tipo de estafas:
- La comunicación debe ir personalizada para el destinatario, nada de comunicaciones genéricas, que nos han de hacer sospechar.
- Comprobación de la ortografía. La mayoría de los phishing están mal redactados y con faltas ortográficas que no resultan propias de las entidades que nos enviarían la comunicación.
- Comprobar que la cuenta es la original del emisor, ya que pueden sustituir letras por números del tipo GOOGLE por G0OGLE.
- Revisa la URL (dirección web), si verifica sobre el hipertexto de la URL colocando el ratón, comprobarás a dónde nos redirige.
- Nunca hacer descarga de archivos adjuntos si no estamos seguros de la legitimación de la comunicación.
- No clicar en enlaces de los que no estemos seguros.
Hay que incidir en la importancia de denunciar este tipo de delitos ante las autoridades:
Mediante esta web Google Safe Browsing podemos denunciar a Google si detectamos una página web mediante el empleo de prácticas de phishing se hace pasar por una web legítima.
Emilio Moya Reina
Comité Regional de Córdoba itSMF España