Saltar al contenido
El ciberespacio
Seguridad en la Red

Phishing 2022, ejemplos y como no ser una víctima

phishing

Phishing, ¿Qué es?. Siendo claro y de forma muy resumida podemos decir que el phishing es una técnica informática en la que su autor, (estafador), mediante el engaño (imitando por ejemplo correos de bancos), consigue hacerse con nuestras claves de acceso y así acceder a nuestra cuenta bancaria para transferir dinero de nuestra cuenta a otra diferente.

Lo explicado anteriormente es la manera más simple en la que podemos definir un phishing, ya que existen muchas derivaciones de esta modalidad delictiva. Nos encontramos con phishing suplantando las páginas de bancos como Banco Santander, Caixabank, Ing o cualquier otro, pero también existen phishing a página de Correos, Ebay, Amazon o como veremos más adelanta, hasta de la DGT.

De igual forma que explicamos anteriormente el phishing de forma resumida, podemos concentrar todos los trucos en uno solo para poder detectar, o más bien, no picar en este tipo de engaños, ¿Qué truco?, Ninguna entidad bancaria nos solicita nuestras claves o datos personales mediante un correo electrónico. Teniendo en cuenta esta única consideración, estaremos a salvo de cualquier correo que nos haga sospechar. No obstante, no siempre es tan fácil de detectar y se dan una seria de circunstancias personales que nos pueden hacer dudar de la coincidencia de recibir este tipo de correos por una empresa de la estamos realmente esperando algún tipo de información, bien sea Correos, Ebay, amazon…

¿Qué es el phishing?

El phishing es una estafa en la que una organización criminal crea una página Web simulando a una empresa, por ejemplo, Banco Santander, la cual distribuye masivamente a través de correos Spam, para que la víctima, creyendo que accede a su banco introduzca sus claves de banca online, facilitando éstas a los estafadores. Éstos, una vez con las claves en su poder acceden a la banca online de la víctima y transfieren el dinero a “colaboradores” en la estafa, los cuales terminan la operación normalmente enviando ese dinero a terceros países por métodos de envío que garantizan el anonimato.

El phishing hay que diferenciarlo de otro tipo de estafas a la que estamos más acostumbrados, como por ejemplo las estafas en Webs de compra venta

¿Quién interviene en el phishing?

Para tener más claro el concepto y cómo funciona la estafa denominada phishing vamos a organizar en 4 las personas que intervienen en la misma:

  1. Organización criminal. Llamamos así a las personas encargadas de suplantar las páginas de entidades bancarias y hacerlas llegar a nuestros correos electrónicos.
  2. Víctima. Persona que creyendo que está entrando en su cuenta bancaria entra en la página simulada por la organización criminal. La víctima rellena los formularios de la página como si entrara en su banca online, (Dni, usuario, contraseña, etc), enviándose toda esta información a los autores del phishing.
  3. Mulero. Persona a la cual envían el dinero obtenido de la cuenta de la víctima. Con las claves en su poder, la organización criminal accede a la banca online de la víctima y realiza transferencias a la cuenta del mulero, siendo este una persona captada a veces de manera inconsciente y en otras ocasiones formando parte clara de la Organización. El mulero suele ser captado cuando realiza búsquedas de trabajos a través de Internet, encontrando trabajos online que ofrecen la posibilidad de ganar dinero rápido sin apenas esfuerzo. Cuando el supuesto empleado comienza a “trabajar”, lo que realiza realmente es “blanquear dinero”, recibiendo las transferencias procedentes de la víctima y enviándolas a terceros países mediante métodos de envío difíciles de rastrear, (western Union, Money Gram…).
  4. Receptor final. Puede coincidir o no con los primeros de la organización. Son las personas que se lucran con esta actividad ilícita, llegando a su poder un dinero difícil de rastrear por las autoridades.

De forma resumida los actores de esta estafa han sido enumerados muy brevemente, no obstante pasamos a verlos con detalle a continuación.

1. La organización criminal. ¿Quién crea esta estafa?

Si bien esta estafa masiva denominada phishing es difícil de controlar por las autoridades, tras investigaciones en las que participan autoridades de varios países se ha podido desmantelar al verdaderos núcleo de la organización.

Como comentábamos anteriormente, el primer paso para iniciar comenzar esta estafa es suplantar la identidad de alguna entidad bancaria, ¿Qué significa esto?, significa que existen personas con conocimientos informáticos suficientes para realizar una página Web prácticamente igual a otra bastante reconocida como www.bancosantander.es, o www.bbva.es, y que la víctima no sospeche de que entra en una Web falsa. Un poco más adelante pondremos ejemplos de distintos phishings realizados a Banco Santander, Ing, Correos, etc.

Este tipo de Webs falsas llegan a nosotros a través de e-mails que en muchas ocasiones no son detectados como Spam por el servidor del correo.

El fin de estos correos es hacernos creer que nos encontramos ante una comunicación formal por parte de nuestra entidad bancaria, (aunque existen variantes como veremos), hacer click en el enlace proporcionado e introducir todos nuestros datos de acceso.

En cuanto introducimos nuestros datos, estamos dando todo lo necesario para que la organización criminal tome el control de la misma y transfiera el dinero a otro lugar.

Estrategia de la estafa

Si bien existe cierta complejidad en crear una Web prácticamente idéntica a otra oficial, el funcionamiento para encontrar víctimas es bastante rudimentario, aunque no carente de éxito. Realizan envíos masivos de correos a listas de correos compradas a otras páginas, captadas en Webs de dudosa legalidad o rastreando un poco por Internet.

Si la organización criminal juega con un porcentaje de éxito de un 0,5 %, es decir, de cada 200 correos enviados llega a “picar” una persona, envían 20.000 correos, por lo que pueden conseguir hasta 100 víctimas.

Los anteriores datos son simulados, ya que no se conocen estadísticas de Correos enviados/víctimas conseguidas, pero la metodología usada es la mencionada.

Veamos un ejemplo más claro:

  • 10.000 correos enviados al azar simulando la página del Banco Santander.
  • Coincide que de las 10.000 personas que lo reciben, llegan a visualizarlo la mitad, 5.000 personas.
  • De esas 5.000 personas, 500 tienen cuenta bancaria en Banco Santander.
  • De esas 500 personas, pongamos que 50, acceden al correo y por desconocimiento, facilitan sus datos.
  • Consiguen las claves de 50 personas a las que accederán inmediatamente a su cuenta para transferir el dinero a otro lugar.

2. La víctima de la estafa.

La víctima del phishing es la persona que facilita los datos de acceso a su banca online a una página simulada de su entidad bancaria.

Normalmente, las páginas simuladas nos las hacen llegar a través de correos electrónicos. Como hemos explicado anteriormente, mediante correos masivos, a los que la organización criminal intenta llegar a las máximas víctimas posibles.

Estos correos suelen tener títulos que pueden hacernos pensar que van dirigidos directamente a nosotros, por ejemplo con temas como: “problema con su transferencia”, “información sobre su nómina” o “recibo devuelto”, son algunos de los mensajes que nos podemos encontrar y que son acciones tan habituales en nuestros día a día, transferencias, consulta de nóminas, recibos, que utilizan estos ganchos para darnos ese plus de confianza y hacer click en el enlace proporcionado.

En cuanto accedemos al enlace proporcionado en el correo, estaremos accediendo a esa Web simulada e introduciendo todos nuestros datos, dando el poder a la organización para hacerse con el control de nuestra cuenta.

3. El mulero en el phishing.

Nos podemos encontrar dos tipos de muleros en el phishing. La persona que forma parte de la organización criminal y sirve de enlace para hacer llegar el dinero desde la víctima hasta los autores y un segundo, que si bien es igualmente utilizado para hacer llegar el dinero desde la víctima hasta los autores del phishing, lo hace de de manera inconsciente o con cierta inconsciencia deliberada.

El mulero que forma parte de organización.

En el primero de los casos, si la persona forma parte de la organización criminal, habrá intentado ocultar su identidad mediante la apertura de cuentas bancarias falsas, aportando identidades inexistentes o cualquier método válido que le permita abrir una cuenta bancaria online.

Este mulero es utilizado por la organización criminal para transferir rápidamente el dinero de la víctima a su cuenta, y éste a su vez lo enviará normalmente a terceros países mediante métodos de envío de dinero que carecen de medidas para identificar a sus receptores.

El dinero es transferido desde la cuenta de la víctima a la cuenta bancaria del mulero, que conocedor del funcionamiento de otras formas de envío de dinero, lo enviará a países como Nigeria, Mali u otros de África, (no siempre es así), en los que solicitan escasa o nula documentación para retirar el dinero.

El método de envío.

Cuando hablamos de métodos de envío de dinero alternativos, nos referimos a sistemas como Western Union o Money Gram, por citar dos de las empresas más importantes y con sedes en prácticamente cualquier lugar del mundo.

El método es sencillo y muy válido para un envíos entre amigos, familiares o personas conocidas, pero no tanto si queremos identificar al receptor del dinero.

Conocedor de esto, el mulero envía el dinero a través de estos métodos a países donde la requerirán escasa documentación, o documentación fácilmente manipulable para retirar el dinero, ocultando así la identidad del receptor final.

El mulero “inconsciente”.

El mulero “inconsciente”, (ni mucho menos siempre lo es), es la persona captada por la organización criminal para hacerles llegar el dinero utilizando métodos de envío que les permita retirarlos ocultando su identidad.

Esta puede ser captada de muy distintas formas, pero la más habitual es mediante una falsa oferta de empleo, por lo que el perfil suelen ser personas que buscan trabajo o quieren ganar algo de dinero extra.

La forma de trabajar.

La operativa del trabajo ofertado siempre es la misma, recibir transferencias en tu cuenta bancaria para posteriormente y lo más rápido posible, sean enviadas a otros países a través de métodos como los ya explicados anteriormente, (Western Union, Money Gram…).

Aunque el trabajo a realizar sea siempre el mismo, el envoltorio cambia. Suelen ser ofertas con títulos como: “Enlaces de empresas internacional” ,”Comercial de enlace de empresa de joyería” o “Administrativo para empresa internacional”.

Estas ofertas suelen ser muy atractivas ya que ofrecen una remuneración sustanciosa, desde casa, a tiempo parcial y sin experiencia previa, ¿Quién no se desea eso verdad?, todos nosotros, lo que no deseamos son las consecuencias posteriores: Detenciones policiales por participar en el blanqueo de dinero, tener que devolver el dinero recibido, juicios, etc.

En cuanto somos captados para trabajar con ellos, y como único requisito real necesario será la aportación de una cuenta bancaria a nuestro nombre, con objeto de poder transferir el dinero de la víctima a nuestra cuenta.

¿Qué sucede cuando recibamos el dinero de la víctima?. Nos requerirán que sea enviado a ellos a través de los sistemas de envíos ya explicados y a nombre de personas que ni realmente existen.

Investigación policial

Para una segura futura investigación policial, en la que se sigue el rastro del dinero y la identificación de la persona por la que ha pasado, suele figurar el mulero como última persona identificada que ha estado en posesión del mismo.

En ocasiones, el mulero asume e interioriza el trabajo que supuestamente realiza, sin ser consciente de que es una pieza fundamental para que se perpetre la estafa, en otras ocasiones, el mulero es consciente de que realiza una actividad de dudosa legalidad, que podría ser realizada por la organización sin su participación, y no obstante sigue adelante, adoptando un papel de inconsciencia deliberada que lo hace partícipe en la estafa.

4. Receptor final del dinero.

Si bien pertenecen a la organización, no tienen por que tener un contacto directo con ellos.

Son las personas que finalmente reciben el dinero de la estafa.

Normalmente se encuentran en países en los que la investigación policial se endurece gracias a las escasa colaboración de las empresas implicadas o bien por la escasas medidas de seguridad de aquel país.

¿Qué hacer si eres Víctima de un phishing en 2022 o has sido captado como mulero?

La mayoría de las personas que se vean involucradas en este tipo de estafas lo hará de dos formas, las más habitual, han accedido a tu cuenta del banco y han realizado una o varias transferencias ilegalmente, o bien, has podido ser engañado para realizar un supuesto trabajo y en realidad te vas a dedicar a recibir dinero ilegal y enviarlo a la organización sin saberlo.

Sea como fuera, vamos a ver las dos posibilidades y qué debemos hacer y qué no debemos hacer si hemos sido afectados en esta estafa.

He sido víctima de un phishing, ¿Qué hago?

Todo comienza cuando nos llega un mensaje de nuestra entidad bancaria informando de una serie de transferencias o cargos no realizados por nosotros. Evidentemente, la primera impresión será de agobio o impotencia al comprobar que alguna persona ha entrado en nuestra cuenta de manera ilegal y nos está quitando nuestro dinero.

¿Qué hacer?

Vamos a enumerar los pasos a realizar si ya hemos sido víctima del phishing, posteriormente veremos cómo evitarlo.

Pasos a seguir si hemos sido víctima de pshishing:

  • Ponernos en contacto con nuestro banco lo más rápido posible para intentar paralizar las transferencias y dar cuenta de lo sucedido.
  • Anular las tarjetas vinculadas a la cuenta.
  • Realizar una incidencia en nuestra entidad bancaria para intentar recuperar el dinero. serás informado de que debes interponer denuncia ante la policía.
  • Interponer denuncia por estafa ante cualquier comisaría de policía, adjuntando toda documentación que pudiera servir de ayuda y que demuestre el delito: Titularidad cuenta bancaria, movimientos denunciados, correos electrónicos recibidos, etc.

He sido captado como mulero, me han engañado para trabajar para la organización, ¿Qué hago?

Si te ves en esta situación, puede crearte un poco de controversia, ya que puedes sentirte engañado, puedes sentirte una víctima y por otra parte puedes verte como partícipe de la estafa, ya que tus acciones han permitido llevar el dinero del del punto A (victima), al punto B (la organización criminal).

¿Qué podemos hacer si ya hemos realizado el trabajo?

Hemos sido captados para trabajar desde casa, para una super empresa internacional, creemos que es un buen trabajo, legal, fácil de realizar, y con resultados casi inmediatos, ¿Por qué no hacerlo?. En ese momento no nos damos cuenta de lo que ocurre pero si conseguimos impedir algunos de los pasos a realizar nos ahorraremos futuros disgustos.

  • En primer lugar, si comenzamos a sospechar que lo que vas a realizar no es del todo legal, es por algo, ponte en contacto con la policía, consulta el caso, casi con toda seguridad estarán intentando captarte.
  • Si ya has aceptado el trabajo, has facilitado el número de cuenta para que te realicen ingresos y recibes uno, si estás en este punto, no lo envíes!!!!! consulta a la policía, probablemente haya una víctima a la que le han quitado ese dinero y ahora lo tienes tú!
  • Recuerda que si envías el dinero probablemente salga del país, por lo que dificultará enormemente la investigación y recuperación del mismo.
  • En el caso de haber enviado el dinero, ponte en contacto con una comisaría de policía y denuncia los hechos.
  • Guarda toda la documentación que hayas obtenido, correos de la organización, contratos firmados, documentación enviada y recibida, etc.
  • Por último, si has llegado a hacer algún envío, intentarán que sigas haciéndolo. No lo hagas!, ellos lo intentarán hasta que el mulero sea citado por la policía, avisado por su banco o se de cuenta que hace algo que es ilegal.

Recomendaciones para no ser víctima de un phishing ni ser engañado para trabajar como mulero.

Las recomendaciones para no llegar a vernos en esta situación son varias, pero la más importante: aplicar la lógica y en caso de dudas consultas a cualquier comisaría.

  • Dudar de la legalidad de ofertas de trabajo en las prometan ganar dinero de forma fácil, rápido y desde casa.
  • Si la oferta o hace mención en alguna ocasión o incluso en varias ocasiones a que el trabajo a realizar es “legal”, es síntoma de que se oculta algo. Cualquier oferta de trabajo real, imaginemos Mercadona, El Corte Inglés, no hace nunca referencia a que el trabajo a realizar es “legal”, por lo tanto, olvidemos por lo tanto toda oferta de trabajo que haga mención a esto.
  • Aunque hoy en día la internacionalización del trabajo es un hecho, es difícil encontrar trabajos que requieran poca o nula experiencia o formación que provenga del extranjero. Vamos igualmente a dudar de toda oferta que haga uso de traductores de Google o de un mal castellano.
  • Buscar la empresa en Google. Algo tan sencillo como realizar una pequeña búsqueda de la empresa que nos quiere contratar nos puede arrojar resultados de otras estafas o información que nos permita tener mucho más claro si es conveniente seguir adelante.

Ejemplos reales de correos phishing a empresas

Ahora que hemos cómo funciona el phishing, vamos a pasar a ver ejemplos reales de correos electrónicos que nos pueden llegar a nuestra bandeja de entrada suplantando la identidad de empresas como Banco Santander, BBVA, Correos, o casi cualquier otra entidad que tenga clientes susceptibles de ser víctimas de este delito.

Correo phishing banco Santander

En este caso vemos un ejemplo de phishing del Banco Santander. Es uno de los bancos que sufren más este tipo de ataques, simplemente por la razón de los miles de clientes que poseen.

Hay que tener en cuenta que estos correos son masivos, le llegan a personas que son clientes de Banco Santander y a otros no.

Lo que intentarán será llegar a personas que sean clientes del banco que suplantan, aumentando la posibilidad de éxito si apuestan por las entidades más grandes, Banco Santander, BBVA o Caixabank.

En este caso vemos como el castellano utilizado no es correcto, y como siempre, nuestro banco nunca nos solicitará entrar en la cuenta a través de un enlace en el correo, NUNCA!

Correo phishing banco Santander

Este correo es muy fácil de identificar. ¿Qué vemos raro?, varias cosas.

Para empezar, faltas de ortografía, palabras unidas, letras de otras palabras separadas, etc, y como siempre, un castellano de traductor.

A veces sólo hay que leerlo una vez, como en este caso, no obstante, si está un poco más trabajado, leyéndolo un par de veces nos daremos cuenta de muchos fallos.

Pero sobre todo, y como siempre, no hacer click en el enlace, y esta vez lo ponen bien rojo y bien grande.

Correo phishing banco Santander

Al igual que el anterior, en este correo intentando suplantar la identidad de banco Santander encontramos un castellano de traductor, así como faltas de ortografía, no utilizan las tildes.

Hay que tener en cuenta que cualquier comunicación de nuestro banco, será correcta, en nuestro idioma, sin faltas de ortografía y nunca nos solicitarán nada, serán siempre correos informativos y sin enlaces

Correo Phishing Paypal

Como podéis observar, tampoco Paypal se salva de este tipo de suplantaciones.

Cosa que se repite en todos los correos, la forma de expresarse, las faltas de ortografía…, veamos ejemplos de este correo concreto:

  • “Recientemente hemos determinado que diferentes computadoras…”
  • “Múltiples fallas de contraseña…”
  • “Si today no completa esto…”

Como vemos en esta última frase hasta mezclan idiomas

Correo phishing Netflix

Es normal que también intenten conseguir víctimas en una plataforma de pago con cientos de miles de clientes como Netflix.

En esta ocasión vemos correos en los que, en un idioma que no está configurada nuestra cuenta, (ya nos debería hacer dudar), nos informan que el próximo no ha sido autorizado, por lo que, con esa urgencia quizás de querer continuar viendo Netflix, las víctimas hacen click en el botón de pago.

Correo phishing Hacienda

Aquí como vemos lo que intentan suplantar es la identidad de la Agencia Tributaria, de la cual, todos somos clientes.

En este correo, lo único que podría asemejarse algo a un correo oficial de Hacienda es el logo porque todo lo demás indica que se trata de una estafa para hacerse con nuestros datos.

Vemos que como todo lo anterior, deja mucho que desear en cuanto a escritura, mala colocación de negritas o tipos de letras diferentes para cada frase con indicios que nos tienen que hacer sospechar que nos encontramos un correo que intenta suplantar la identidad de Hacienda.

Correo psishing Mapfre

Al igual que ocurre en los bancos, si intentan captar clientes, suelen intentar suplantar empresas que cuenten con muchísimos clientes.

En el caso de los seguros, Mapfre es una de las empresas más fuertes, por lo que puede ser habitual encontrar un correo de este tipo en nuestra bandeja de entrada, y si en el caso de ser cliente de dicha aseguradora, hacernos picar.

Como vemos, leyendo el texto tranquilamente comprobamos que contiene incluso palabras inexistente, siendo su único fin que descarguemos el archivo que puede contener algún tipo de virus o malware que nos pueda infectar nuestro ordenador y hacerse con nuestros datos.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Ir a la barra de herramientas