MENÚ
MALDITO BULO

Phishing, smishing y vishing: qué características tienen y cómo intentan timarnos

Publicado
Actualizado
Comparte
Recursos utilizados
Observación
Hablar con fuentes oficiales

Probablemente te han intentado estafar con alguna técnica como el phishing, el smishing o el vishing, aunque te suenen a chino y desconozcas su nombre y las características de cada una. No obstante, cada vez son más frecuentes y a diario verificamos en Maldita.es nuevos casos que nos llegan a través de nuestro chatbot (+34 644 22 93 19) . Para que aprendas a identificarlos y no caigas en la trampa, te explicamos cuáles son las características de cada una y cómo podemos evitar caer en ellas. Además, si quieres ampliar la información, puedes consultar la guía sobre ciberataques que ha elaborado la Oficina de Seguridad del Internauta (OSI).

Phishing: estafa a través de un correo electrónico

De las tres técnicas de estafa mencionadas, probablemente sea el phishing la que más hayas oído. Consiste básicamente en un email que recibimos en el que se hacen pasar por una empresa y te piden que proporciones tus datos personales y/o bancarios para cualquier fin o te intentan instalar un virus malicioso con el fin de robarte tus contraseñas.

Lo hemos visto con correos electrónicos de infinidad de empresas y organizaciones. El último en llegar ha sido un correo electrónico que suplanta a la Agencia Tributaria aprovechando la campaña de la declaración de la Renta 2020. El email lleva el asunto “Acción fiscal” y a simple vista puede parecer creíble. En concreto, el correo electrónico asegura que “se refiere a una acción fiscal registrada en nuestra base de datos” y te pide que accedas a “toda la información” pulsando en enlace de “Sede Electrónica”. Pero si pulsas el enlace se descarga un virus malicioso en tu dispositivo. Este no es el único caso de phishing que hemos visto suplantando a la Agencia Tributaria. Otros te decían que iban a hacer una devolución de impuestos o un reembolso, con el fin de obtener tus datos bancarios y personales. Así que es importante andar con mucho ojo en estos días.

Ejemplo de un caso de phishing

Asimismo, hemos visto infinidad de casos de correos electrónicos que suplantan a Amazon con falsos sorteos u otros de Mercadona en el que ofrecen un empleo o en el que te envían un código para que lo canjees por un premio. Como decimos, todos son una estafa.

Smishing: casos de phising a través de un SMS

Aunque el phishing tradicional es una técnica habitual que sigue en auge, cada vez hay más casos de smishing, el envío de un SMS para instalarte un virus malicioso u obtener tus datos personales y bancarios. Es decir, lo que sería un phishing pero en lugar de intentar estafarte mediante el envío de un correo electrónico, lo hacen a través de un SMS. 

Son muy conocidos los casos de estafas en los que se hacen pasar por empresas de paquetería como SEUR, FedEx, Correos

Pero también, recientemente, en Maldita.es hemos identificado casos en los que te envían un SMS y te preguntan si puedes trabajar “en línea” un determinado número de horas a la semana. Sin embargo, cuando pulsas el link, este te lleva al timo de las falsas inversiones y te prometen que ganarás mucho dinero invirtiendo. Pero, sentimos decirte, que lo único que pretenden es estafarte.

¿Qué es el vishing?

El vishing es una técnica similar al phishing, aunque en este caso es un timo que se lleva a cabo a través de llamada telefónica. En concreto, los timadores suplantan la identidad de una empresa u organización por teléfono con el objetivo de hacerse con datos personales o bancarios "que pueden resultarles de utilidad para cometer ciberdelitos", según explica el Instituto Nacional de Ciberseguridad (INCIBE).

Como indica el Banco de España, el término viene de la combinación de voice ("voz", en español) y phishing, otra técnica de la que ya os hemos hablado en Maldita.es en repetidas ocasiones.

Hemos visto casos de estafas en los que llamaban por teléfono suplantando a Microsoft para pedirte tus datos e incluso, otro, en el que un supuesto funcionario de la Tesorería General de la Seguridad Social te llama para comunicarte que te tienen que hacer un ingreso a través de la aplicación Bizum.

Ejemplo de un caso de vishing

Cómo evitar ser víctima de phishing y el smishing:

No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.

  1. Fíjate bien en la dirección del correo electrónico o del SMS. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". En el caso del SMS, observa que la URL del link sea el de la empresa que dice ser.  Si notas algo raro, borra el mensaje.
  2. Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
  3. Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
  4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.

Pautas que te recomendamos seguir con tal de no picar en ninguno de estos timos de vishing:

  1. Nunca des datos personales por teléfono. No le facilites a un desconocido que te llama información delicada, como los datos de tu tarjeta de crédito.
  2. Ponte en contacto con la entidad llamando a números oficiales. Si sospechas que lo que te están contando por el teléfono podría tratarse de un timo, cuelga y llama tú directamente a esa organización a su número de teléfono oficial.
  3. Recuerda que la empresa que te está prestando un servicio ya tiene tus datos personales. Por ejemplo, es muy raro que tu banco te pida el número de tu cuenta bancaria ya que es información que ya debería tener.
  4. Busca en internet si hay víctimas que han denunciado casos similares o información sobre el timo que te están intentando colar.
  5. Desconfía de llamadas de números desconocidos y utiliza apps de rastreo de llamadas.

Si te llega un enlace sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad. También puedes enviarnos la supuesta estafa al chatbot de Maldita.es (+34 644 22 93 19) para que la verifiquemos.

Este artículo ha sido publicado por Maldita.es en 20 Minutos el 08/04/2021.


Primera fecha de publicación de este artículo: 15/04/2021

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.