Es importante saber cómo identificar un sitio de phishing para evitar ser víctima de estafas que pueden provocar pérdidas económicas, robo de identidad u otras formas de ciberdelincuencia. Los ataques de phishing siguen demostrando ser una de las formas más exitosas y eficaces que tienen los ciberdelincuentes para lanzar ciberataques que nos estafan y roban nuestra información personal, incluidas contraseñas, credenciales y datos financieros.
Nuestra creciente dependencia de Internet para realizar gran parte de nuestras operaciones cotidianas ha proporcionado a los estafadores el entorno perfecto para lanzar ataques de phishing selectivos.
Los correos electrónicos de phishing son una forma sofisticada de ciberataque cada vez más difícil de detectar. Según un estudio realizado por Intel, el 97% de las personas no son capaces de distinguir los correos electrónicos de phishing de los auténticos en su bandeja de entrada.
Pero no son sólo los correos electrónicos de phishing los que se utilizan para engañar a los destinatarios para que hagan clic en enlaces, descarguen malware o divulguen información sensible. Otra táctica común utilizada por los ciberdelincuentes consiste en la creación de sitios web de phishing comprometidos para engañar a las víctimas para que introduzcan información sensible.
Las estafas de phishing suelen incluir sitios web falsos para engañar a los usuarios desprevenidos y hacerles creer que están en un sitio legítimo y poner en peligro su seguridad. Los estafadores dedican mucho tiempo a hacer que el sitio parezca lo más creíble posible y muchos sitios parecen casi indistinguibles de los reales.
Consejos para identificar un sitio de phishing
Para determinar si el sitio en el que se encuentra es legítimo, o una falsificación bien elaborada, debe seguir los siguientes pasos:
1. Compruebe la URL
El primer paso para identificar un ataque de phishing es pasar el ratón por encima de la URL y comprobar la validez del nombre de dominio.
Busque el icono de un candado en la barra de direcciones y compruebe que la URL empieza por 'https://' o 'shttp://'. La 'S' indica que la dirección web ha sido cifrada y protegida con un certificado SSL. Sin HTTPS, cualquier dato transmitido al sitio es inseguro y podría ser interceptado por terceros ciberdelincuentes.
Sin embargo, este sistema no es totalmente infalible, y en el último año se ha producido un notable aumento del número de sitios de phishing que utilizan certificados SSL. Se aconseja a los usuarios que extremen la precaución y busquen más pruebas de que el sitio es seguro.
También hay que prestar mucha atención a la ortografía de una dirección web. Para engañar a los usuarios y hacerles creer que están en un sitio oficial, los estafadores se apegan lo más posible a la dirección real y hacen pequeños cambios en la ortografía. Una dirección web que termina en .co.uk puede cambiarse por .org, o la letra O puede sustituirse por el número 0. Por ejemplo: www.yah00.org. La dirección web también puede contener caracteres y símbolos adicionales que las direcciones oficiales no contienen.
2. Evaluar el contenido de un sitio
Un sitio web oficial requiere mucho trabajo y reflexión. Los gráficos serán nítidos, la ortografía y la gramática estarán en su punto y toda la experiencia se sentirá pulida. Si estás en un sitio de phishing, a pesar de la similitud de la marca, toda la experiencia se sentirá deficiente y puede indicar que te has desviado a un sitio de phishing.
Las simples faltas de ortografía, el inglés descompuesto, los errores gramaticales o las imágenes de baja resolución deberían actuar como una señal de alarma de que se encuentra en un sitio de phishing y debería abandonarlo inmediatamente.
Otra área del sitio web que puede indicar un ataque de phishing es la falta de una sección de "contacto". Los sitios web oficiales suelen tener una página dedicada a proporcionar todos los datos de contacto de la empresa. Esto incluiría la dirección postal, el número de teléfono, la dirección de correo electrónico y los canales de las redes sociales. Si no se proporciona ninguno de estos datos, es señal de que se trata de un sitio de phishing.
3. Compruebe quién es el propietario del sitio web
Todos los dominios tienen que registrar su dirección web, por lo que vale la pena hacer una búsqueda en WHOIS para ver a quién pertenece el sitio web. Se trata de un servicio gratuito que le permitirá comprobar a quién pertenece el sitio web en el momento de su creación y le proporcionará los datos de contacto del propietario del sitio.
Hay que sospechar si el sitio web lleva menos de un año activo o si cree que está en el sitio web de una marca líder, pero la dirección web está registrada a nombre de un individuo en otro país. Si este es el caso, lo más probable es que se trate de un ataque de phishing.
4. Leer los comentarios en línea
Siempre merece la pena investigar un poco sobre una empresa para comprobar si tiene buena reputación y es quien dice ser. Es muy probable que si un sitio ha estafado a personas en el pasado, las víctimas compartan su experiencia en línea y adviertan a otros usuarios para que eviten el sitio de phishing. Si hay muchos comentarios negativos de clientes, es un buen indicio de que se trata de un ataque de phishing.
5. Métodos de pago de confianza
Los sitios web legítimos siempre aceptan tarjetas de crédito como método de pago o pueden utilizar un portal como PayPal para las transacciones en línea. Si la única opción de pago que se ofrece en un sitio web es la transferencia bancaria, debería saltar la alarma. Los sitios de buena reputación nunca pedirán a los consumidores que paguen con este método. Esto indica que ningún banco ha proporcionado servicios de tarjeta de crédito para el sitio web y lo más probable es que esté tratando con un estafador.
Artículos relacionados:
Qué hacer si hace clic en un enlace de phishing
Principales tendencias emergentes en ciberseguridad
