Noticias

cabecera notica

null DISI23: Todo lo que necesitas saber para que... ¡no roben tus datos!

DISI23: Todo lo que necesitas saber para que... ¡no roben tus datos!

Compartir en Twitter Compartir en Facebook Compartir en Linkedin

El 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información, más conocido como DISI, cuyo objetivo es concienciar y recordar la importancia de la protección de la información para evitar el robo de identidades, datos financieros y personales.

DISI23

En este artículo te damos algunas claves y consejos para evitar que ¡tus datos puedan ser robados!

Cómo se inicia un ciberataque

Los Ciberataques actualmente no necesitan una excesiva sofisticación técnica para iniciarse, suelen dirigirse al elemento más vulnerable de un sistema, las personas que hay detrás de él. Suelen comenzar con un correo, un SMS o una llamada telefónica.

Estos envíos o llamadas utilizan la mayoría de las veces mensajes preocupantes o amenazantes sobre la perdida de servicios, actuaciones críticas, etc. y aprovechan la inquietud de usuario para pedirle datos personales y que luego aprovecharán los atacantes en beneficio propio. ¿Qué datos suelen pedir? Contraseñas, pines, números de tarjeta, autorizaciones, etc.

Esta técnica se llama phishing en sus distintas versiones y aumenta cada día más, señal de que es efectiva y los atacantes sacan cada vez más provecho.

Una vez que consiguen las credenciales de un usuario, es posible actuar en nombre de este y, por tanto, enviar correos, efectuar compras, realizar transferencias y en el peor de los casos conseguir mayores privilegios para asaltar a otros equipos y personas dentro de su entorno laboral o académico.

Cómo suelen ser los mensajes de phishing

Los mensajes típicos suelen tener un tono de amenaza y de urgencia para provocar inquietud en la persona y no dejarle razonar con el fin de guiarlo hacia un lugar falsificado o extraerle información. Ejemplos de amenazas que suelen contener los correos de este tipo son:

Si no se cumple lo que nos piden en 24 horas, entonces:

  • Perderá su cuenta de correo.
  • Lo daremos de baja inmediatamente.
  • Su paquete no será encontrado.
  • Cerraremos su cuenta bancaria.
  • Se quedará sin espacio de disco y perderá sus datos.

Muy posiblemente lleven también expresiones lingüísticas no habituales, malas traducciones, etc. aunque con la Inteligencia Artificial (IA) y la mejora de los traductores en línea han mejorado mucho las expresiones utilizadas, por lo que hay que prestar más atención.

Todo el contenido del mensaje tiene la finalidad de llevarnos a un enlace que “facilita” la tarea que se pide, ¡este es el gancho!  La etiqueta (parte visible) que figura en un enlace no tiene por qué coincidir con la dirección a que el enlace realmente remite y de esto se aprovechan muchas veces los “malos” para engañarnos. El engaño consiste en llevarnos a una página falsificada que suplanta la real y se parece lo suficiente para que se produzca el engaño. En esta página suelen pedirnos datos de identificación y contraseñas.

Estos correos suelen tener remitentes extraños con dominios de países lejanos que no tienen nada que ver con quien teóricamente nos remite el mensaje.

También hay variantes de phishing telefónico donde se pretende que el receptor de la llamada actúe de forma apresurada y sin margen de maniobra para poder sacarle datos personales, bancarios, hacerle cambiar de compañía, etc.

Como NO picar en un phishing

Ante un mensaje o llamada de este tipo, lo primero que hay que hacer es mantener la calma, leerlo o escucharlo y no actuar inmediatamente. Piensa que las entidades y compañías que prestan servicios a ciudadanos no suelen dirigirse a sus usuarios con tonos amenazantes y taxativos y sus administradores tienen suficientes herramientas para resolver los problemas que plantean sin necesidad de pedirle las contraseñas y datos a sus usuarios.

Si tienes claro que es un correo de phishing, bórralo y si es una llamada de este tipo, cuelga inmediatamente.

Si todavía dudas que NO sea un phishing y pinchas en el enlace de un correo, antes de dar ningún dato, haz algunas comprobaciones, pues, una página falsificada puede ser una copia exacta de la original, por lo que no debe guiarse solo por las imágenes e iconos que aparecen en ella.

  • Mira el dominio en la barra de direcciones del navegador de la página que se ha abierto (en el caso de la Universidad de Murcia:. um.es) y comprueba que se corresponde con el dominio real de la entidad que dice ser.
  • Las direcciones web tienen asociado un certificado que indica su veracidad. Los certificados (se ven pinchando en el candadito en la barra de direcciones del navegador) e indican el origen real de la dirección web. Si se pincha en el candado y se accede al certificado, en campo nombre común (NC) figura el dominio real del alojamiento de la página y debe coincidir con el dominio a donde nos queremos dirigir.
  • También se debe revisar el origen tanto de la dirección de correo remitente como la dirección de la página web abierta. Muchas de estas direcciones tienen dominios asociados a países lejanos; por ejemplo: .cn (China), .kp (Corea del Norte), .ru (Rusia), .by (Bielorrusia), etc. Los dominios habituales utilizados por entidades que nos prestan servicios habitualmente suelen estar en Europa y suelen ser: .es, .us, .fr .uk, .de, etc.
  • Otra posible comprobación es consultar en Google la página de la compañía u organismo que supuestamente nos pide los datos y acceder directamente desde el navegador y no desde el correo. En este caso podemos comparar los dominios y los certificados de ambas, ante cualquier diferencia debemos dudar.
  • Por último, la gran mayoría de entidades tienen un teléfono o correo de atención al usuario donde puede preguntar aclara tus dudas.

Si recibes una llamada telefónica no solicitada de un determinado soporte técnico, también debes tener cuidado y fijarte en determinados detalles; número extranjero, interlocutores con marcado acento extranjero, excesiva solicitud de datos personales, etc. muy posiblemente sea una estafa. Los proveedores de servicios ya tienen tus datos, no tienen por qué pedírtelos, salvo confirmar lo que ya tienen.

Que no debemos hacer NUNCA

NUNCA, dar una contraseña, un pin, la tarjeta de crédito, etc. por teléfono, web dudosa, ni remitirlo por correo a nadie.

Y por último, una recomendación clara, ante la más mínima duda, ¡borra el correo recibido, el SMS o descarta la llamada telefónica!

Ante cualquier situación sospechosa, comunícala al CAU de ÁTICA:

WhatsApp: 690 94 67 28  

Teléfono: 868 88 4222  

Correo: dumbo@um.es

Web: https://dumbo.um.es