Este año que se acaba también han intentado hacerse con tu dinero y tus datos. Es probable que estos meses te haya llegado un correo o un SMS de alguien que se hace pasar por tu banco, una empresa o institución pero en realidad buscaba hacerse con tus datos personales y a veces los bancarios. Es el 'phishing'.
En Maldita.es hemos desmentido numerosos casos de 'phishing'. Reunimos aquí los intentos de 'phishing' más virales y peligrosos del año:
El timo del bitcoin y las 25 caras conocidas que utiliza para colártela
El timo del Bitcoin es mutante: cambia de cara y también de nombre (Trader, Evolution, Future, Profit, etc.). Y en Maldita.es no hemos parado de advertirte sobre este tema durante este año porque es muy peligroso. Ya os contamos que una mujer perdió 10.000€ tras ser engañada, y más personas afectadas se han puesto en contacto con nosotros para contarnos su caso.
Utiliza habitualmente como gancho a personajes famosos que dicen han "invertido" en Bitcoin. Algunos de estos famosos son Amancio Ortega, Ana Botín, Matías Prats, Sergio Ramos, María Teresa Campos, Dani Rovira, Alberto Chicote, Karlos Arguiñano, Rafa Nadal, Jesús Vázquez, Josef Ajram, Andreu Buenafuente, 'El Profesor' de 'La Casa de Papel', Antonio Banderas, Risto Mejide, Anna Simon, Iker Casillas, María Jesús Ruiz, Fernando Alonso, David Bustamente, Leo Messi, Nadia Calviño, Juan Roig, Jordi Cruz y Carles Puigdemont,
¿Cómo funciona el timo?
El timo llega a los usuarios a través de anuncios en redes, que cuando pinchas sobre ellos te llevan a distintas webs que imitan la apariencia de medios de comunicación para intentar dar credibilidad. Esas webs contienen falsas entrevistas o hablan de intervenciones falsas en televisión de famosos en las que recomiendan invertir en un supuesto producto financiero que cambia de nombre según la versión.
Cuando pinchas en cualquiera de los enlaces de la web te redirigen a otra página que usa colores llamativos, vídeos de expertos sacados de contexto y temporizadores para hacerte invertir. Para ello, debes rellenar un formulario con tus datos antes de hacer una inversión inicial de unos 250€ que no volverás a ver.
Aquí te damos consejos para evitar que te la cuelen y te contamos qué puedes hacer si ya has sido víctima de este timo.
Los falsos mensajes de Correos para que pagues "tasas aduaneras" o "gastos de envío"
Una de las grandes campañas de 'phishing' de este año, sin duda, ha sido la que afecta a Correos. En octubre, os advertimos del SMS que suplantaba a la entidad y te pedía que pagaras "los aranceles aduaneros". Era un caso especial: el mensaje de 'phishing' tenía el mismo remitente que otros mensajes reales de la entidad. Dos meses después, en diciembre, nos volvisteis a preguntar por otro SMS prácticamente idéntico.
Cómo te la cuelan
En ambos casos, los mensajes terminan con un enlace donde supuestamente podrás realizar el pago. Esta URL te lleva a una web que suplanta la imagen corporativa de Correos, pero que no es la oficial. En ella, te piden que confirmes que no eres un robot y que continúes.
Tras darle al botón de "Continuar", te piden tus datos personales y que hagas un pago, pero es importante que no accedas a ello puesto que no es una página oficial de Correos y perderás tu dinero.
Pero el pago de "tasas aduaneras" no es el único caso que afecta a Correos que hemos desmentido este año. También os hemos advertido de los falsos mensajes que te piden que pagues "gastos de envío" o "nuevos costos de entrega", que también incluían un enlace sospechoso.
En todo caso, Correos nos dice que no envía mensajes de este tipo. ni por SMS ni por correo electrónico, en los que solicita un pago a través de un link y en los que pide datos personales de sus clientes.
Los cupones de Mercadona que nunca existieron
Otra campaña de 'phishing' viral fue una cadena de WhatsApp que usaba el nombre de Mercadona. Os advertimos en diciembre de este caso de 'phishing' para decía regalar un cupón de 250 euros por su 45º anivesario para hacerse con tus datos. En noviembre desmentimos otro "cupón gratuito de 75 euros". De nuevo, en junio desmontamos otro falso cupón regalo de Mercadona, esta vez de 100 euros.
Más 'phishing' en nombre de Mercadona: un SMS avisándote de que "apareces en la lista del sorteo de pascua", correos electrónicos con una "recompensa" de "hasta 100 € en efectivo" y bonos de 100 euros por su 50º aniversario.
El supuesto "kit" de L'Oreal y otros falsos"regalos" de marcas conocidas
Los falsos regalos de marcas conocidos son otros típicos casos de 'phishing', como ocurrió como L'Oréal y sus kits de productos gratis y con Lancôme y sus cofres de maquillaje de regalo para celebrar su aniversario, dos casos por los que nos habéis preguntado muchísimo.
Nescafé y Nespresso también acumulan varios casos de 'phishing': el sorteo de "1000 cestas de Navidad con 50 productos cada una", una cafetera "mini me y 3 packs de café gratis", regalo de cafeteras "para testarlas" y "para probadores".
El nombre de Nivea también ha sido usado para obtener tus datos a cambio de un falso sorteo de un "kit de Nivea Men".
Los mensajes de 'phishing' bancario para que actualices o verifiques "tus datos"
Otro habitual es hacerse pasar por entidades bancarias mediante SMS o correos electrónicos y pedirte, por motivos de seguridad o problemas técnicas, que actualices tus datos. En realidad te envían a una web engañosa que suplanta al banco con el objetivo de hacerse con tus datos financieros. Algunos de los bancos cuya imagen es utilizada para timarte son Bankia, ING, Banco Santander o BBVA.
Cómo te la cuelan
El procedimiento suele ser siempre el mismo: alguien se hace pasar por una entidad bancaria y envía una notificación al cliente para verificar sus datos, o por cualquier otra razón que pueda parecer oficial. Las vías más comunes para este tipo de estafa son los SMS y el correo electrónico.
Los delincuentes suplantan la identidad del banco haciendo uso de trucos como copiar la imagen corporativa de la entidad o utilizar direcciones de email similares a las del banco. En esos mensajes, se incluyen enlaces que te dirigen a una página web con un aspecto similar a la web oficial de la entidad. Una vez en esta página, te piden que introduzcas ciertos datos o que rellenes un formulario. De esta manera, pueden conseguir información confidencial como el número de cuenta, la clave de la tarjeta de crédito o la clave de acceso 'online' al banco.
Consejos para evitar ser víctima de 'phishing':
- Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
- Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Si una institución supuestamente se está poniendo en contacto contigo, pero no está dirigido a tu nombre, sospecha.
- Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.
- Consulta las webs de Instituto Nacional de Ciberseguridad (INCIBE) y la Oficina de Seguridad del Internauta (OSI).