Aprende a evitar web falsas, de timos y estafas

Aprende a evitar web falsas, de timos y estafas

José Antonio Lorenzo

Una de las formas preferidas por los ciberdelincuentes para engañar a sus víctimas es el uso fraudulento de webs. En muchas ocasiones suplantan la identidad de una empresa u organismo para sacar beneficios, creando una web falsa para sus negocios ilegales, con el objetivo que los usuarios «piquen» y expongan sus datos personales y/o tarjetas de crédito. En este tutorial vamos a explicar cómo podemos detectar una web falsa de estafas para timos y fraudes.

Introducción: qué son los ataques de phishing

Los ciberdelincuentes, con un ataque de phishing, esencialmente buscan robar nuestras credenciales y contraseñas. La manera de actuar de estos atacantes consiste en mandar un mensaje en el que se suplanta la identidad de una empresa u organización.

El mensaje que llega a esa persona puede contener un archivo malicioso o simplemente un link que nos lleva a una web fraudulenta. El objetivo es que la víctima al iniciar sesión entregue los datos de su cuenta al atacante. Algunos de los ataques de phishing más recientes afectan a los bancos, y a las cuentas de redes sociales, de Microsoft y de correo electrónico.

Tipos de ataques de phishing

Ante estos ataques, tenemos muchas formas de tratar de evitarlos y no caer en ellos. Pero para poder solventarlos o prevenirlos de una forma más eficaz debemos conocer los diferentes tipos que nos podemos encontrar, los cuales tienen características diferentes.

  • Phishing por correo: Es el más común de todos ellos, donde se recibe un correo electrónico fraudulento, el cual está suplantando la identidad de una página o servicio, para que quién reciba un correo caiga en la trampa. En ese momento, el malware se activa o nos roban los datos introducidos.
  • Vishing: Aquí la finalidad es la misma que con el Phishing normal, pero el medio de transmisión es diferente. Normalmente ocurre por vía telefónica, por lo cual puede ser mucho más complicado de detectar.
  • Spear Phishing: De nuevo el formato es igual que el phishing tradicional, pero nos encontramos ante un mensaje especialmente dirigido a una víctima. Al ser personalizado, la probabilidad de que quién recibe el mensaje acceda a él, aumenta en gran medida.
  • Smishing: Nos encontramos ante ataques enviados a través de SMS, aunque sea un método que se está quedando obsoleto, sigue siendo útil para este tipo de ataques. Normalmente vienen acompañados de enlaces, donde al acceder te piden los datos para poder robarlos.
  • Basado en malware: En este caso también se recibe por correo electrónico, pero viene acompañado de una archivo para descargar. Esto hace que cuando tratemos de acceder al mismo, se libere un malware en el equipo, el cual puede tener funcionalidades muy diversas.
  • QRishing: Como su nombre nos deja ver, estamos ante un phishing por códigos QR. Estos están modificados de forma maliciosa, y al leerlo puede producirse la infección mediante un malware, lo cual puede dar acceso a los ciberdelincuentes al equipo afectado. En este caso, generalmente móviles.

Cómo evitar los ataques de phishing

Básicamente consiste en usar nuestro sentido común y en aplicar lo que hemos explicado aquí. Aquí es muy importante analizar la URL y también el contenido para detectar una web falsa. Así debemos fijarnos en los indicios que hemos mencionado antes como los fallos de ortografía y otros muchos más. Otro dato para sospechar es cuando juegan con la urgencia y nos piden realizar una acción antes de un tiempo determinado o de lo contrario nos cierran la cuenta.

También un elemento muy importante es no abrir y ejecutar el archivo adjunto que viene con este tipo de ataques porque podría infectar nuestro equipo con malware. Además, debemos mantener nuestros equipos actualizados con los últimos parches y actualizaciones sin olvidarnos de tener un buen antivirus.

Algunos de los puntos más importantes para detectar una web falsa son:

  1. El estudio de su URL (dominio) observando la barra de direcciones de nuestro navegador.
  2. Identificar al propietario del sitio web.
  3. Estudiar el contenido de la página web y los métodos de pago que ofrece
  4. Herramientas gratis para detectar web falsa

Ahora, vamos a ir hablando de ellos de uno en uno y vamos a explicar en qué detalles de esa web nos tenemos que fijar.

Estudio de su dominio

Lo mejor que podemos hacer para comprenderlo es tomar como ejemplo una web legítima. Así sabremos que debemos encontrar en cualquier sitio web que ofrezca unas mínimas garantías. En este caso vamos a poner como ejemplo a un banco, concretamente el BBVA. Sin duda, uno de los mejores ejemplos de webs legítima y segura que podemos encontrar suelen ser los bancos.

Un certificado digital emitido por una entidad de certificación autorizada (CA) nos da garantías de que la página web en el que estamos es legítima, no obstante, esto no siempre es así, ya que los ciberdelincuentes utilizan autoridades de certificación como Let’s Encrypt para incorporar HTTPS en sus webs, y que los navegadores comprueben que su certificado digital es legítimo.

Aquí tenemos un ejemplo en el que parece una URL en la barra de direcciones. Además, si pulsamos en el icono del candado nos dará una información adicional.

Aquí podemos observar que se trata de una conexión segura y tiene su correspondiente certificado.

Otra cosa que podemos observar a fondo es la dirección URL. Lo que haremos es seleccionarla por completo, con el botón derecho damos a copiar y luego la copiaremos en un archivo de texto. En este caso lo que podremos ver es que es del tipo https que son las webs que cifran los datos y las que llamamos «seguras».

Tal y como podéis ver, todo el tráfico va cifrado y la conexión es segura, sin embargo, que una web incorpore HTTPS y la conexión sea segura, no significa que la web sea real, puede ser perfectamente falsa y estar orientada para fraudes, pero los ciberdelincuentes han configurado correctamente el protocolo HTTPS con su correspondiente certificado para intentar «colártela».

Luego tenemos las del tipo http, la conexión a estas webs no son seguras, esto no quiere decir que no sean legítimas. Sin embargo, si trata de una web en la que se realizan transacciones económicas no es buen síntoma. Ya sea porque esos pagos están expuestos, o porque se trata de una estafa no conviene usarla para pagos. Por lo tanto, en este tipo de webs no es recomendable utilizar información confidencial ni realizar compras.

Por tanto, y para finalizar, si una web utiliza HTTP y te pide introducir credenciales de usuario o datos de la tarjeta de crédito, es muy probable que sea una web falsa para fraudes. Que incorpore HTTPS constituye un buen indicio de que esa web es legal, pero también debes tener cuidado y mirar que el dominio pertenece realmente a la entidad bancaria o web que esperas, porque la incorporación de HTTPS no significa que sea legítima.

Información sobre el propietario de la web

Por ley, el propietario de una web debe estar correctamente identificado. También debe de cumplir con una política de privacidad que deben de respetar. Para preservar nuestros derechos tenemos el Reglamento General de Protección de datos (GDPR) para que las empresas mantengan a buen recaudo nuestros datos. Una cosa que se puede observar en una web legítima, es que nos pide permiso para poder utilizar las cookies.

Si queremos saber quién es el propietario de una web, abajo del todo solemos tener esa información. En la web de ejemplo que seleccioné antes, podemos ver esto:

Si pulsamos en Aviso legal obtendremos estos datos:

Aquí podremos ver cómo nos ofrece una información detallada de la empresa. Así, podemos ver datos tan importantes como su número de identificación fiscal o CIF junto con su dirección. Normalmente las empresas que cometen estafas no ofrecen una información tan detallada que se podría comprobar.

Cuando no sabemos quién es el dueño de una web, o queremos contrastar esa información podemos recurrir a dos webs. Una es la web nominalia a la que accederemos haciendo clic sobre el enlace, así podremos obtener información sobre este sitio. En esta ocasión vamos a cambiar de website. Allí en el nombre del dominio escribimos marca.com y nos ofrecerá una extensa información sobre esta famosa web deportiva.

Ahora vamos a utilizar otra diferente pero esta vez con la intención de contrastar información. La segunda es la herramienta WHOIS, que nos permitir averiguar la propiedad de un dominio de Internet. No obstante, con el RGPD el WHOIS ya no es público porque se considera información privada, no podremos saber a ciencia cierta el dueño de una web si está en «suelo» europeo, pero te servirá para otras webs fuera de nuestras fronteras.

Usar navegadores con navegación segura

El navegador es la primera herramienta y la puerta hacia internet. Por eso es importante que cuenten con utilidades de navegación segura, las cuales nos protejan de los ataques que citamos, de sitios peligrosos y aplicaciones inseguras. Si buscamos algunos de los mejores navegadores en este sentido, podemos encontrar los siguientes:

  • Google Chrome: Es un navegador seguro y fácil de utilizar. Resulta muy intuitivo e incorpora protección integrada para facilitar la transparencia. Este cuenta con una función de navegación segura, la cual avisa a los usuarios antes de visitar sitios que pueden ser de phishing o malware. Esto lo hace con una advertencia en pantalla, la cual nos explica el contenido dañino que contiene la página que queremos visitar.
  • Chromium: Se trata de la versión de código abierto de Google Chrome. Está diseñada para que los usuarios tengan un mayor control con respecto a su navegación. Este navegador nos facilita la integración de software de terceros, por lo cual podemos agregar seguridad añadida, o crearla nosotros mismos si conocemos de programación.
  • Firefox: Este navegador cuenta con unos estándares de protección bastante altos. Su API de navegación segura, es la de Google, por lo cual también nos avisa cada vez que tratamos de acceder a una página web maliciosa.
  • Brave: En este caso, tenemos un navegador muy enfocado a la seguridad, por lo cual es una muy buena opción. Este, cada vez que procedemos a cerrarlo nos preguntará qué datos queremos eliminar, y a mayores cuenta con funciones muy útiles para bloquear scripts y HTTPS Everywhere. Todo esto hace que aumente la seguridad considerablemente a la vez que mejora la experiencia que brinda a los usuarios.

Estudiar el contenido de la web en busca de anomalías

Además de la identificación de la web y de comprobar si utiliza HTTPS (aunque esto último no te garantiza que sea una web legítima) tenemos que fijarnos en más detalles. Una cosa muy importante en ese sentido, es cuando encontramos fallos en la utilización del lenguaje. Si encontramos faltas de ortografía, puede ser un indicio para detectar una web falsa. Esto puede ser síntoma de errores en la traducción junto que no aparezca la letra ñ.

Sin embargo, eso no es lo único:

  • Nos ponemos en contacto con ese vendedor y nos responde en otro idioma.
  • Piden que realicemos una transferencia bancaria mediante el envío de un e-mail.
  • Se dirigen a nosotros con fórmulas como estimado cliente en vez de por nuestro nombre propio.
  • Precios anormalmente bajos.
  • Eluden los métodos de pago seguros, como PayPal.

Aquí tenemos el ejemplo de la seguridad que establece una empresa de reconocido prestigio para realizar los pagos.

Pago seguro

Cómo podéis observar, admite tarjetas de crédito VISA, Mastercard, transferencias y, además, protegen las transacciones con un certificado SSL. En el momento del pago hay que estar atentos y comprobar que se utilice el protocolo de seguridad https.

Herramientas gratis para detectar una web falsa

Browser JSGuard, una extensión para navegadores

Otra de las opciones que podemos usar para detectar una web falsa, es la instalación de una extensión en el navegador. Uno de los que podríamos instalar es Browser JSGuard.

Browser JSGuard

En el momento que entremos a una web sospechosa nos avisará para que salgamos de ella inmediatamente. Para instalar Browser JSGuard en nuestro navegador únicamente debemos ir aquí si nuestro navegador es Chrome y aquí si es Firefox. Debemos recordar que actualmente tanto Chrome como Firefox también son capaces de detectar webs falsas, pero si tienen poco tiempo de vida, no nos saldrá el típico mensaje de peligro con la pantalla en color rojo.

ScamAnalyze para detectar webs de scam

La página ScamAnalyze nos va a permitir analizar otras webs para comprobar si son legítimas o no. En la pantalla principal introducimos el dominio de la página que queremos comprobar y le damos a buscar.

A continuación, nos mostrará si esa web es segura o no junto con otros datos más.

Otro aspecto que podemos tener en cuenta si sospechamos de alguna página, es denunciar ante Google directamente. Podemos hacerlo a través de este enlace.

Cómo denunciar una web falsa

En el caso de que nos encontremos con alguna web falsa, tenemos algunas opciones con las que podemos denunciar, de forma que la mayor cantidad de gente posible esté prevenida con respecto a posibles fraudes o ataques en este sitio. Podemos dividirlo en varios pasos.

  • Anotar la URL: Si es en papel o en una captura de pantalla mejor. De esta forma si esta dirección desaparece de internet, tendremos la URL en todos los casos. Lo cual puede ser información muy valiosa.
  • Comunicarse con responsables: Si encontramos una web la cual es una falsificación de otra, es una buena práctica informar al soporte de la misma, y darles toda la información posible para que ellos puedan llevar a cabo sus correspondientes medidas.
  • Guardar justificantes: En el caso de que se realice alguna compra en una página fraudulenta, siempre y cuando esta nos de alguna especie de justificante del pago o de envío, se debe guardar, ya que puede ser una información muy buena, siendo un registro a mayores de lo que podemos encontrar en el banco o en el servicio de pago que usemos.
  • Denunciar ante la OMIC: Poner la pertinente denuncia en la oficina de información al consumir puede ser muy importante, de forma que pueden estar prevenidos al respecto de más compras y otras estafas en estas páginas. Esto permite que puedan informar y asesorar a más consumidores, y ayudarnos a tramitar las reclamaciones correspondientes.
  • Denunciar a la policía: El último paso es uno de los más importantes. Para ello es muy recomendable llevar todas las pruebas posibles, como las capturas de pantalla, la URL y todo lo que pueda ser información sobre la página. Una vez cumplimentada la correspondiente denuncia, solo tendremos que esperar los resultados de la investigación. Suele ser un proceso lento. Para todo esto, se puede acudir al Grupo de Delitos de la Guardia Civil.

Tal y como habéis visto, debemos tener mucha precaución cuando vayamos a introducir datos de pago o datos personales en webs que no conocemos, debemos extremar el cuidado y comprobar todo lo que os hemos comentado para asegurarnos de no caer en manos de ciberdelincuentes.

¡Sé el primero en comentar!