Peligro del «phishing» en festividades de fin de año

El ‘boom‘ del comercio electrónico, especialmente en momentos de gran crecimiento de la demanda, como el Black Friday o la campaña de Navidad, ha hecho que los envíos a domicilio se multipliquen. Los ciberdelincuentes lo saben y lo aprovechan.

Así, uno de los intentos de ‘phishing‘ más comunes últimamente es el de la supuesta empresa de mensajería que solicita que se abra un enlace para confirmar datos, desbloquear un envío o hacer un pago. Esta práctica se ha trasladado desde mundo de la banca y cada vez es más habitual encontrar en la bandeja de spam correos haciéndose pasar por Seur, Amazon o GLS e invitando a pinchar en un enlace o introducir datos.

Para ello, dirán que hay un envío a nombre del destinatario y que no pueden entregarlo hasta que se realice un pago o que, si no responde rápidamente, lo devolverán al remitente. El modo más habitual de llevar a cabo esta práctica es el envío masivo de e-mails, pero también hay otros, según explican desde Panda Security.

Así, aunque el SMS sea un canal ya un poco en desuso, sigue siendo utilizado por muchas empresas para enviar códigos de confirmación o avisos. Es por ello que estos fraudes por ‘smishing’ no siempre son fácilmente detectables.

Del mismo modo, dado que las empresas grandes del sector disponen de una aplicación con la que el usuario puede hacer seguimiento de su paquete, existe una modalidad de fraude en la que se envía un link para descargarla, haciéndose pasar por la compañía. El problema es que ese link no llevará a la aplicación real, sino a una falsa en la que el cliente introducirá todos sus datos o se descargará un malware que podrán utilizar los ciberdelincuentes para acceder al resto de aplicaciones.

Por otro lado, existen casos más flagrantes y difíciles de detectar. Por ejemplo, la propia UPS ha tenido que admitir y avisar de que puede haber ciberdelincuentes que roben datos de su herramienta de seguimiento de envíos para enviar mensajes de ‘phishing‘, con el nombre y apellidos del usuario e incluso números de seguimiento ‘reales’.

Recomendaciones

No está de más recordar, dicen desde Panda, que una empresa de mensajería nunca va a solicitar un pago y que, en caso de duda, siempre es mejor ir a la página oficial y comprobar si la incidencia es real. Debe tenerse en cuenta que el robo de datos puede hacer que se presenten en la puerta de casa haciéndose pasar por mensajeros para, en los casos más graves, tratar de entrar a robar.

En conclusión, una vez recibido un e-mail, SMS o llamada de este tipo, lo principal es pararse a pensar si realmente tiene que llegar un paquete, comprobar las fechas y el tipo de envío, el nombre de la empresa y la dirección de correo completa, pues si es falsa, suele tener un dominio de otro país o estar compuesta de letras y números aleatorios.

En caso de haber pinchado un enlace indebido, se debe cerrar cuanto antes, borrar el mensaje, y nunca introducir datos. Desde luego, tampoco se debe acceder a pagar nada aunque indiquen que el paquete será devuelto a su origen.

Si quedan dudas, lo mejor es llamar al teléfono de atención al cliente de la empresa que supuestamente ha contactado. Asimismo, se recomienda tener siempre actualizados todos los dispositivos con un antivirus, para evitar posibles brechas de seguridad.

Relacionada: Balance entre ciberseguridad e innovación