Persona sosteniendo una caña de pescar

La ingeniería social es una técnica utilizada por ciberdelincuentes para engañar a los usuarios para que revelen información confidencial. Un atacante puede parecer discreto y respetable, posiblemente afirmando ser un nuevo empleado, reparador o investigador e incluso ofrecer credenciales para respaldar esa identidad.

Los ciberdelincuentes buscan tu información, para que puedan cometer robo de identidad o fraude, lo cual puede evitarse si tomas las precauciones adecuadas. La mejor defensa es estar consciente y saber qué hacer si sospechas que eres un objetivo de este tipo de acción.

Existen tres tipos principales de ataques de ingeniería social: phishing (correo electrónico), vishing (teléfono) y smishing (mensaje de texto). Aquí te presentamos algunos consejos excelentes sobre cómo detectarlos, qué hacer si recibes uno y a quién llamar si crees que has sido víctima de un ataque.

¿Qué es el phishing o suplantación de identidad?

Los correos electrónicos de suplantación de identidad (phishing) son el método de ataque principal en el manual de estrategia del ciberdelincuente. Estos ataques intentan engañarte para que realices una acción, como hacer clic en un enlace, abrir un archivo adjunto o responder con información confidencial. Todos somos un objetivo, tanto en el trabajo como en el hogar, porque los ciberdelincuentes pueden sacar un buen dinero a partir de nuestra información y de nuestros dispositivos.

Cómo detectar correos electrónicos de phishing

Estos son los identificadores más comunes asociados con los intentos de phishing. Utiliza estas señales de alerta para revisar todos los correos electrónicos externos:

  • Falta de personalización. ¿Utilizó el correo electrónico un saludo genérico como “Estimado cliente” o nada en absoluto? Los proveedores de servicios generalmente saben quién es usted y generalmente personalizan los correos electrónicos con su nombre y los últimos dígitos de su número de cuenta.
  • Mala ortografía e incorrecciones gramaticales. Las empresas legítimas se esfuerzan por corregir la ortografía y gramática de los correos electrónicos. Si un correo electrónico tiene muchos errores de ortografía u oraciones mal redactadas, es probable que sea un phishing.
  • Enlaces de sitios web extraños. Si pasas el ratón sobre el enlace de un sitio web, verás el destino real del sitio web que estás a punto de visitar (en algunos dispositivos móviles puedes lograr lo mismo si mantienes presionado el dedo en el enlace por uno o dos segundos). Si esa ubicación difiere de la forma en que se escribe el enlace en el correo electrónico, es una buena indicación de un ataque.
  • Adjuntos sospechosos. Si no conoces al remitente, o recibes algo de un amigo que parece sospechoso, no abras el adjunto. Si es de alguien que conoces, siempre puedes hacer una llamada rápida para asegurarte de que esa persona haya enviado el correo electrónico.
  • Solicitudes de información confidencial. Sospecha de las solicitudes de información confidencial, como identificaciones de usuario y contraseñas, números de cuentas financieras, información de salud o números de seguro social.
  • Remitente desconocido. El remitente es alguien que no conoces, y nunca has visto antes esa dirección de correo electrónico o se ve diferente de lo que debería.
  • Remitente que se presenta como una persona de autoridad. Una persona que representa a una empresa o entidad envía un correo electrónico para solicitar información que ya debería tener.
  • Destinatarios en blanco o “no revelados”. A veces, los correos electrónicos de phishing se envían a muchas personas. Otras veces, ve algo como “lista de destinatarios no revelados” en el campo “Para:”. Ambas son posibles señales de alerta.
  • Llamada a actuar de modo urgente. Los mensajes de naturaleza urgente, o solicitar un llamada a la acción inmediata, son un método común utilizado para apurar a las personas a cometer errores y es otro buen indicador de phishing.

Qué hacer si eres víctima de phishing

Si eres víctima de un ataque de phishing, una respuesta rápida es fundamental. Cambia tu contraseña en todas tus cuentas en línea, incluidas las de tu correo electrónico, banca, comercio minorista y cualquier otra. Una vez que hayas vuelto a ingresar a tu cuenta, comunícate con tu compañía de tarjeta de crédito para averiguar si debes reemplazar tus tarjetas. También debes notificar a una de las tres principales agencias de informes de crédito para colocar una alerta de fraude o congelar tu cuenta. Tampoco estaría de más que actualices el software del antivirus y controles todas tus cuentas para monitorear cualquier actividad sospechosa durante los días siguientes.1

¿Qué es el vishing?

Vishing es una forma telefónica de ingeniería social en la que alguien te llama directamente y finge ser de una compañía o servicio legítimo. Una vez en la línea, hacen preguntas, intentan que hagas algo o te dirigen a un sitio web para obtener información personal, como números de seguro social o de cuenta financiera.

Cómo identificar una estafa de vishing

  • Verifica la compañía. ¿La llamada telefónica es de una empresa legítima? Si puedes, busca el número de teléfono o el nombre de la compañía para ver si es legítimo. Debes ser siempre extremadamente cauteloso si es una compañía que no conoces.
  • Llámalos nuevamente usando un número que tengas en tus registros. Si la persona que llama dice que es de una compañía que conoces o con la que haces negocios, cuelga y llámala a un número que conozcas. Por ejemplo, si la persona que llama dice que es de tu banco, vuelve a llamarla al número que aparece en el reverso de tu tarjeta.
  • Ten cuidado con las solicitudes de información confidencial. Sospecha de las solicitudes de información confidencial, como identificaciones de usuario y contraseñas, números de cuentas financieras o números de seguro social.
  • Ten cuidado con los sitios web. Sospecha de las solicitudes para visitar un sitio web, especialmente para completar un formulario o descargar software.
  • Protege tu computadora. Si te piden que accedas a algo en tu computadora, ¡cuidado! No descargues software, no le des acceso a la persona que llama a tu computadora ni modifiques los archivos del sistema de ninguna manera.
  • Cuelga. Cuando tengas dudas, corta la llamada y no aceptes llamadas futuras del número.

Qué hacer si crees que eres víctima de una estafa de vishing

Si accidentalmente le proporcionaste información financiera a un estafador por teléfono, es fundamental que tomes medidas inmediatas para protegerte. Llama a tu banco y avísales sobre la posibilidad de cargos fraudulentos; existe la posibilidad de que algunos ya se hayan realizado y deban cancelarse. También es probable que necesites cancelar tus tarjetas y obtener tarjetas nuevas, e incluso puede que necesites cambiar tus números de cuenta. También debes poner una alerta de fraude o congelar tu crédito con una de las tres principales agencias de informes de crédito. Una vez producido el ataque, piensa en las señales de alerta de las que puedes aprender y que podrías reconocer en futuros intentos de estafa.2

¿Qué es el smishing?

La smishing es una forma de ingeniería social que utiliza mensajes SMS o de texto. Los mensajes de texto pueden contener enlaces a elementos como páginas web, direcciones de correo electrónico o números de teléfono que, al hacer clic, pueden abrir automáticamente una ventana del navegador o un mensaje de correo electrónico o marcar un número.

Este tipo de engaño tiende a ser efectivo porque, si bien la mayoría de nosotros hemos aprendido a reconocer los correos electrónicos de phishing, aún estamos condicionados a confiar en los mensajes de texto. Además, no hay una manera fácil de previsualizar los enlaces en un mensaje de texto como sí podemos hacerlo con un correo electrónico en la PC.

Qué hacer si sospechas de un mensaje de texto de smishing

  • Valida cualquier mensaje de texto sospechoso. Si recibes un mensaje de texto supuestamente de una compañía o agencia gubernamental, verifica tu factura para obtener información de contacto o busca en el sitio web oficial de la compañía o agencia. Llámalos o envíales un correo electrónico por separado para confirmar si el mensaje de texto es legítimo. Una simple búsqueda web puede frustrar a un estafador.
  • No participes en nada. Nunca hagas clic en enlaces, respondas a mensajes de texto o llames a números que no reconozcas. No respondas, incluso si el mensaje te solicita que "envíes un mensaje de texto con la palabra STOP" para finalizar los mensajes.
  • Elimínalo. Si no sabes de quién es y parece sospechoso, simplemente borra el texto.
  • Actualiza tu dispositivo. Asegúrate de que el sistema operativo de tu dispositivo inteligente y las aplicaciones de seguridad se actualicen a la versión más reciente.
  • Agrega seguridad adicional. Considera instalar software antimalware en tu dispositivo para mayor seguridad.

Qué hacer si crees que eres víctima de una estafa de smishing

Si crees que has sido víctima de una estafa de smishing, cambia las contraseñas y los PIN de tu cuenta y comunícate con tu banco para informarles o cancelar cualquier cargo fraudulento. También es posible que desees enviar una alerta de fraude o congelar tu crédito con una de las tres principales agencias de informes de crédito.3 También debes informar el ataque a una agencia de cumplimiento de la ley como la FTC.4

¿Cómo puedes obtener más información?

El phishing, vishing y smishing son todos ejemplos de la naturaleza en constante evolución de la actividad delictiva a medida que el mundo se mueve cada vez más hacia el espacio digital. Para mantenerte un paso adelante ante estas amenazas y conocer los recursos disponibles para enfrentarlas, visita el Centro de Soluciones de Negocios de Nationwide .

[1] https://us.norton.com/internetsecurity-online-scams-what-to-do-when-you-fall-for-an-email-scam.html, consultado en septiembre de 2021.
[2] https://us.norton.com/internetsecurity-online-scams-vishing.html, consultado en septiembre de 2021.
[3] https://www.kaspersky.com/resource-center/threats/what-is-smishing-and-how-to-defend-against-it, consultado en septiembre de 2021.
[4] https://www.fcc.gov/avoid-temptation-smishing-scams, consultado en septiembre de 2021.

Ícono de pequeña empresa
Obtén más información sobre el seguro de negocios de Nationwide
Hablar con un especialista