El término Phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía, instituciones, etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial.
La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Ese correo electrónico incluye enlaces a un sitio web preparado por los estafadores -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.
En este sentido, existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación. Son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.
Además, los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.
Campaña de phising de suplantación del Ministerio de Sanidad
«Su número de suscripción ha sido seleccionado para recibir una dosis adicional de vacuna contra el COVID-19 en los próximos días». Esto afirma un correo electrónico que supuestamente se envía desde el Ministerio de Sanidad. En él se adjunta un enlace a un documento que se debe rellenar si se desea elegir la vacuna que le van a administrar. Al pinchar en el enlace, la página le redirige a una web (swiss-services.com.) que no es la del Ministerio de Sanidad (https://www.sanidad.gob.es/home.htm). En esa página web, que utiliza el logo del Ministerio para dar credibilidad, se le descarga automáticamente un archivo zip en su dispositivo que contiene un fichero malicioso.
Ya se han producido otras campañas de phishing en las que se suplanta al Ministerio de Sanidad, como el correo sobre protocolos contra la COVID-19 con malware o el email sobre las restricciones perimetrales por la pandemia que también contenía un archivo malicioso.

Qué hacer si hemos sido víctimas de esta campaña
Si ha recibido un correo como este y ha seguido sus indicaciones, un fichero malicioso se habrá descargado y ejecutado en su dispositivo. Según la OSI (Oficina de Seguridad del Internauta), lo que debemos hacer es desinfectar el dispositivo siguiendo las pautas que indica la OSI en esta dirección https://www.osi.es/es/desinfecta-tu-ordenador
Consejos para evitar ser víctima de phishing
No podemos hacer que dejen de suceder estos ataques, pero sí se describen a continuación una serie de recomendaciones que puede seguir cuando le vuelva a llegar una supuesta alerta o sorteo que use el nombre de una empresa de confianza.
- Fíjese bien en la dirección del correo electrónico. Si le llega un mensaje, preste atención a la dirección del correo que se lo envía, concretamente a lo que viene después de la «@». Si nota algo raro, borre el correo.
- Mire la dirección de la web a la que le redirige. Normalmente este tipo de notificaciones vienen con un link en el que le piden que introduzca sus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzca sus datos. Para ello, fíjese bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
- Cuidado si al intentar pinchar en los elementos de la web no le dirige a ningún sitio o le pide verificar sus datos.
- Contraste con las fuentes antes de dar sus datos o pulsar un enlace. Estos mensajes transmiten urgencia para que no le dé tiempo a reaccionar. Recuerde que puede preguntar a la propia compañía, a la Policía o a la Guardia Civil.

Fuentes (consultadas el 19/04/2022)
Deja una respuesta