As técnicas para enganar aos usuarios foron perfeccionándose ata crear mensaxes falsas case imposibles de distinguir. Caer nunha ciberestafa é máis sinxelo do que moitos usuarios pensan. Chegado a ese punto, é imprescindible actuar rapidamente para protexer a información persoal
18 oct 2023 . Actualizado á 13:52 h.O termo phising provén do verbo pescar en inglés (fishing). Acuñouse así para facer alusión a usar un cebo e agardar a que as vítimas «piquen». O phising refírese unha práctica que consiste en que un estafador envíe un correo electrónico ou mensaxe de texto de aparencia inofensiva para facer caer ao usuario nunha ciberestafa. Non é novo, de feito o termo apareceu por primeira vez en 1996, a raíz dun ataque á empresa American En liña (AOL). Por aquel entón, a principal provedora de servizos da internet nos Estados Unidos.
As técnicas foron evolucionando, e sobre todo, perfeccionándose. Antes calquera usuario era capaz de detectar o engano porque as mensaxes adoitaban conter erros ortográficos, gramática estraña, ou falta de contexto. Pero xa non é sempre o caso. Nos ataques avanzados, dirixidos a correos electrónicos corporativos ou individuos específicos, os ciberdelincuentes son máis sofisticados e crean mensaxes nos que cada liña é moi crible e efectiva. Ademais, xa está en xogo a intelixencia artificial e o propio ChatGPT é capaz de crear falsas mensaxes en apenas segundos. Caer é máis doado do que moitos usuarios pensan.
«Ninguén está libre de caer nunha estafa de phishing, nin sequera os profesionais e expertos en tecnoloxía. Caer na trampa só toma uns segundos de descoido. Imaxina esta situación: nun día calquera, chégache un correo electrónico que parece completamente normal e lexítimo, pero que, de súpeto, esixe unha acción inmediata pola túa banda. Ante a urxencia, fas clic nunha ligazón sen pensalo dúas veces, pero, xusto despois, empezas a sospeitar que pode pasar algo», explica Josep Albors, director de investigación e concienciación de ESET España, compaña experta en ciberseguridade.
Chegados a ese punto, que pode facer o usuario? Nestes casos é relevante a rapidez na actuación, para protexer información financeira e os datos persoais que poida conter o dispositivo.
Non dar información
Unha vez feito click nunha ligazón que nos envía a unha páxina web externa onde se nos solicita información para calquera cousa, ante a máis mínima dúbida o máis recomendable é non realizar ningunha acción. Os estafadores, en moitas ocasións, non buscan inxectar un virus no dispositivo, só obter datos. Se non se enchen credenciais, nin datos bancarios, nin información de ningún outro tipo, a ameaza pode esquivarse.
Desconectar o dispositivo
Outros ataques dan ao ciberestafador acceso ao computador ou ao móbil da vítima a través dun malware que facilita o control remoto. Para evitalo, ou mitigar o dano, é imprescindible desconectar de inmediato a conexión a internet.
Facer unha copia de seguridade
Unha vez desconéctase un dispositivo da internet, os datos persoais deixan de enviarse ao servidor dos estafadores, pero os arquivos seguen estando comprometidos. Neste caso, pódese facer unha copia de seguridade, principalmente de documentos confidenciais ou aqueles con alto valor emocional, como fotos ou vides. É importante facelo de forma regular e preventiva nun disco ríxido externo no almacenamento na nube.
Considerar un restablecemento de fábrica
Devolver o dispositivo ao seu estado orixinal é outra das opcións cando se sofre un ciberataque. O que se coñece comunmente como «formatar» o computador ou o móbil. Hai que ter en conta que durante o proceso se eliminan datos, aplicacións e arquivos instalados. É irreversible e incluso algúns virus informáticos poden persistir.
As claves
Cambiar de inmediato as credenciais é unha das principais recomendacións dos expertos cando un usuario foi vítima dunha ciberestafa. Sobre todo se, como é habitual, a mesma clave utilízase para diferentes contas. Estas situacións resaltan a importancia de usar nomes de usuario e claves únicos para cada servizo.
Buscar discordancias
Nun ciberataque, os delincuentes tratan de permanecer nun dispositivo o máximo tempo posible. Isto conségueno cambiando os detalles de inicio de sesión, as direccións de correo electrónico, ou calquera outro detalle que lles permita volver acceder a ese computador ou teléfono no futuro. Por iso, desde ESET recomendan revisar sempre se hai movementos sospeitosos na conta bancaria, nunha aplicación de compras ou incluso nas redes sociais.
Buscar dispositivos non recoñecidos
Os expertos de ESET explican que se «os ciberdelincuentes roubaron os detalles de inicio de sesión dunha conta, o máis probables é que intentasen iniciar sesión desde o seu propio dispositivo». As aplicacións teñen un rexistro de sesións iniciadas que convén revisar regularmente e pechar as que sexan descoñecidas.
Doutra banda, os expertos advirten que sempre que se poidan comprometer detalles bancarios ou datos de inicio de sesión dunha páxina na que rexistrásemos un cartón de crédito, o principal é porse en contacto co banco. A aeroliña Air Europa sufriu a semana pasada un problema de seguridade que permitiría o acceso aos datos dos cartóns de crédito dos clientes, precisamente porque estes as rexistran para comprar as viaxes.