MENÚ

¿Nos pueden robar nuestros datos sólo con pinchar en un enlace de 'phishing'? Dependerá de si se ha descargado 'malware' en el dispositivo y este se ejecuta

Publicado Jul 15, 2022, 8:03:00 AM
Comparte
Etiquetas

Nos llega un supuesto mensaje de una entidad que conocemos con un link y pinchamos en él. Después, desconfiamos de su procedencia y cerramos la web sin haber introducido ningún dato personal. ¿Es posible que nos roben los datos si sólo hemos hecho click en el enlace?

Según los expertos consultados por Maldita.es, lo habitual es que estos enlaces sean ataques de phishing, los timadores suplantan la identidad de una institución o empresa que conocemos y nos dirigen a una web falsa para que introduzcamos nosotros mismos nuestros datos, como los bancarios.

Sin embargo, es posible que al pinchar en el enlace se descargue malware (un software malicioso) en nuestro dispositivo y, si este se ejecuta, nuestro ordenador o móvil estará infectado y podrían hacerse con nuestros datos.

En los ataques de 'phishing' la víctima introduce sus datos personales porque es engañada

Cuando pinchamos en un enlace de un mensaje de phishing (que nos ha llegado por SMS, correo, WhatsApp, etc), "lo más habitual es que los ciberdelincuentes nos redireccionen a una página que aparenta ser lícita, pero que, sin embargo, es una copia de la original", explica a Maldita.es Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la de la Universidad Rey Juan Carlos. De esta forma, si introducimos nuestros datos, los timadores se hacen con ellos.

"En un ataque de phishing, el afectado introduce sus datos porque es engañado", señala Pedro Jesús Rodríguez, experto en ciberseguridad. Sin embargo, es posible que nos encontremos con un enlace sospechoso que no busca que demos nuestros datos, sino introducir malware en nuestro dispositivo.

Al pinchar en un enlace fraudulento se puede descargar 'malware' en nuestro dispositivo

Si hacemos click en un enlace fraudulento es posible que se descargue un archivo malicioso en nuestro ordenador o móvil. Calvo apunta que algunos navegadores web nos avisan antes de descargar cualquier fichero y otros son capaces incluso de detectar e informarnos de que estamos tratando de descargar un fichero sospechoso. Si nuestro navegador no nos advierte o decidimos ignorarlo y el malware se descarga, el riesgo dependerá de si se ejecuta o no

Si no abrimos ese fichero malicioso, es difícil que nuestro dispositivo se infecte y se pueda extraer información de él (aunque podría ocurrir, aprovechándose de alguna vulnerabilidad del sistema operativo). Sin embargo, si ejecutamos el archivo "es más que factible que nos roben".

Según Rodríguez, si el malware se descarga y se instala, los timadores podrían hacerse con el control del dispositivo "pudiendo llegar a robar información o suplantar al propietario del móvil", como ocurre con el virus Cerberu o el software de espionaje Pegasus.

En esta misma línea, el informático experto en técnicas de hacking, Santiago Casteleiro, explica que, cuando pinchamos en un enlace de phishing, lo primero que podría ocurrir es que nuestro antivirus o nuestro navegador bloqueen la página web fraudulenta. Si no hacemos caso, se podría descargar automáticamente malware en nuestro dispositivo sin nuestro consentimiento o conocimiento, un ataque conocido como drive by download. "En este caso, dependerá de nuestra protección antivirus o de nuestro sistema operativo que estemos protegidos frente a este tipo de ataque", señala.

Por su parte, José María de Fuentes, profesor titular de Ciberseguridad de la Universidad Carlos III de Madrid, afirma que "debemos empezar a desterrar la idea de que si sólo hacemos click no pasa nada". Por ejemplo, un enlace puede llevarnos a descargar automáticamente un archivo PDF con un código malicioso y, si tenemos configurado nuestro dispositivo para abrirlo automáticamente, nuestro ordenador o móvil se infectará. 

Además, el experto señala que existen herramientas que no descargan nada en nuestro dispositivo, pero que nos muestran una página web que, "con una mínima acción", pueden robarnos datos importantes. "¿Un ejemplo? Storm Breaker. Nos mostrará una página que, con que sólo el usuario pulse siguiente, permite cosas como el robo de la contraseña de Windows 10, obtener imágenes de la webcam o el audio del micrófono, o la localización de la víctima", explica de Fuentes.

Consejos para que no nos la cuelen con enlaces fraudulentos

Si nos encontramos con un enlace sospechoso y no sabemos a dónde conduce ni quién es el emisor, no debemos pinchar. Los expertos consultados por Maldita.es también recomiendan utilizar herramientas como Virus Total, una web que analiza archivos y páginas web para detectar malware y otros ataques

Asimismo, Rodríguez, experto en ciberseguridad, apunta un serie de "medidas básicas":

- Descargar programas sólo de las fuentes oficiales.

- Desactivar la instalación de programas de fuentes desconocidas en el móvil.

- No "rootear" (piratear) el móvil para instalar aplicaciones de forma fraudulenta.

- Tener el móvil siempre actualizado.

- Usar un software de protección del dispositivo.

En el caso de que hayamos pinchado en el enlace y se haya descargado un fichero, Calvo aconseja no ejecutarlo, eliminarlo de inmediato, descargar un antivirus y realizar un análisis del móvil. "Si se detectan comportamientos extraños en el teléfono (o lo hemos ejecutado), se debería restaurar el móvil de fábrica y cambiar las contraseñas de todos los servicios a los que se haya accedido o que se tuviera la cuenta iniciada en el teléfono móvil", indica. Además, debemos avisar a familiares y amigos, al banco y, si corresponde, denunciarlo.

También puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o utilizar su línea de ayuda en ciberseguridad.

Si has sido víctima de este método de timo, puedes compartir tu historia y escribirnos a [email protected].

En este artículo ha colaborado con sus superpoderes los malditos Miguel Calvo, Pedro Jesús Rodríguez, Santiago Casteleiro y José María de Fuentes.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.


Primera fecha de publicación de este artículo: 05/04/2022