Hace poco me llegó un correo que aparentaba ser de mi banco que decía: “Estimado cliente, hemos detectado operaciones inusuales en su banca por internet. Por favor sírvase ingresar a este link y cambiar su contraseña”. Lo curioso era que cuando uno ingresaba al link, le pedían poner en primer lugar la contraseña vigente para reemplazarla con una nueva. Es en ese preciso momento en que los ciberdelincuentes aprovechan de robar los datos personales necesarios para estafar a los usuarios a fin de vaciar sus cuentas bancarias, realizar compras con sus tarjetas de crédito y para toda operación fraudulenta que exija identificación.

El phishing es una forma de ciberataque en la que los ciberatacantes intentan engañar a las personas para que revelen información confidencial, como contraseñas, números de tarjetas de crédito o información personal. Los ciberdelincuentes se hacen pasar por entidades legítimas, como bancos, instituciones gubernamentales o empresas reconocidas, y utilizan métodos como correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos para obtener información personal. Cabe señalar que, el término \»phishing\» es un juego de palabras que combina las palabras \»fishing\» (pesca, en inglés) y \»phreaking\» (piratería telefónica, en inglés). Fue acuñado por los hackers y expertos en seguridad informática a finales de la década de 1990.

El correo electrónico, las webs y los SMS son los canales de los que más se valen los delincuentes de internet. El primero de ellos es el método más utilizado porque es fácil, barato y eficaz. Las direcciones de email son fáciles de obtener y enviar correos electrónicos; es prácticamente gratis. Con poco esfuerzo y a bajo coste, los atacantes pueden obtener acceso rápidamente a datos valiosos.  Entonces, ¿qué debes hacer si eres víctima de phishing?

En primer lugar, debes desconectarte de Internet. Resulta crucial evitar una mayor propagación del ataque y, en particular, en situaciones empresariales donde los equipos están interconectados. La primera medida que se debe tomar consiste en desconectar la red para aislar el sistema afectado.

En segundo lugar, cambia tus contraseñas. Inmediatamente después de darte cuenta de que has sido víctima de phishing, cambia las contraseñas de todas tus cuentas en línea, especialmente las relacionadas con la información comprometida. Asegúrate de utilizar contraseñas fuertes y únicas para cada cuenta y considera el uso de un administrador de contraseñas para gestionarlas de manera segura. Esto evitará que los atacantes continúen accediendo a tus cuentas comprometidas.

En tercer lugar, escanea tus dispositivos con antivirus. Una estrategia de phishing es introducir un malware o virus en el dispositivo. En muchas ocasiones a los usuarios se les convence de hacer click o abrir un archivo adjunto que puede descargar malware en sus dispositivos.

En cuarto lugar, informa a la institución que usaron los ciberdelincuentes para engañarte. Es importante, pues no sabes si esos atacantes buscarán suplantar tu identidad para realizar alguna transacción. También es importante notificarles este suceso a fin de alertar a posibles usuarios que también pueden ser víctimas de estos criminales.

En quinto lugar, si has proporcionado información sobre tarjetas de crédito o débito, es preciso que te contactes inmediatamente con los bancos para que las bloqueen y eviten transacciones fraudulentas. Proporciona detalles sobre el incidente y sigue las instrucciones que te brinden para proteger tu cuenta y tus datos. La mayoría de las instituciones financieras y proveedores de servicios tienen protocolos establecidos para manejar casos de phishing y pueden ayudarte a protegerte de posibles daños.

Mantén un seguimiento cercano de tus cuentas bancarias, tarjetas de crédito y cualquier otra cuenta que pueda estar comprometida. Revisa regularmente los extractos y transacciones en busca de actividad sospechosa. Si detectas cualquier transacción no autorizada o actividad fraudulenta, notifícalo de inmediato a tu institución financiera o proveedor de servicios. Cuanto antes informes el fraude, más rápido podrán tomar medidas para protegerte y recuperar cualquier pérdida.

En sexto lugar, analiza todas las acciones previas al suceso. Recuerda qué sitios web visitaste, qué formularios de datos personales llenaste y qué documentos aparecen en la carpeta de descargas. Revisa tus correos y presta atención a los signos de phishing, como errores ortográficos o gramaticales, direcciones de correo electrónico sospechosas o incorrectas, así como URLs que no coinciden con los sitios web legítimos.

Finalmente, si has sido víctima de phishing puedes denunciar el delito informático en cualquier comisaría del país, así como directamente en la División de Investigación de Delitos de Alta Tecnología (DIVINDAT), al correo divindat.servicioguardia@policia.gob.pe. La DIVINDAT recomienda guardar las evidencias, y no borrar los mensajes o correos electrónicos recibidos para rastrear al ciberdelincuente.