Hoy, con el rápido desarrollo y distribución de las vacunas contra la COVID-19, muchos estadounidenses están en línea y compartiendo información personal para unirse a listas de espera y reservar citas antes de que se llenen los cupos. Los estafadores están cambiando sus tácticas para aprovecharse de esta emoción. Mientras revisamos con entusiasmo nuestros correos electrónicos en busca de actualizaciones y confirmaciones sobre las vacunas, puede ser difícil distinguir entre un correo legítimo y un intento de phishing.

La mejor manera de protegerte de los actores malintencionados es aprender a reconocer las señales de alerta. Conocerlas de antemano hará que sea menos probable que hagas clic en ese correo tan convincente. Los miembros de la junta de National Cyber Security Alliance, Cofense y Mimecast capturaron ejemplos reales de intentos de phishing, que se muestran a continuación. Pon a prueba tus conocimientos y mira si puedes encontrar las señales de una estafa en estas imágenes.

Esta captura de pantalla, tomada por Mimecast, muestra un intento típico de phishing. ¿Cuántas señales de alerta puedes encontrar? Sigue desplazándote para ver si las encontraste todas.

Se pueden encontrar varias señales de alerta de un intento de phishing en este correo:

1. Línea de asunto – Observa el uso de letras mayúsculas y signos de exclamación. La redacción y el formato se usan para crear una sensación de urgencia, intentando que hagas clic en el correo en pánico, rápida y sin pensar.

2. Suplantación de una fuente de confianza – Este phish, probablemente enviado a los empleados de una empresa, finge provenir del departamento de recursos humanos. Los actores malintencionados fingirán ser personas o grupos que quizá ya conoces para ganarse tu confianza. Si no estás seguro de si un correo realmente vino de alguien, comunícate con esa persona o llámala directamente para volver a verificarlo.

3. Errores y faltas de ortografía – La mala gramática se puede ver a lo largo del cuerpo del correo, así como las mayúsculas aleatorias en ciertas palabras como “Vaccinated”. Se esperaría que un correo proveniente del departamento de RR. HH. de una organización use una redacción y gramática correctas. La combinación de formato extraño, letras mayúsculas y gramática rara hace que este correo parezca “sospechoso”.

4. Hipervínculos – El contenido del correo intenta llevar al destinatario a hacer clic en el hipervínculo al final del mensaje. Ten siempre cuidado al hacer clic en enlaces (y archivos adjuntos) en los correos electrónicos, ya que podrían llevarte a un sitio fraudulento.

Mimecast sugiere los siguientes consejos para evitar estafas:

1. Sé proactivo. Ve directamente al sitio web/hospital de tu gobierno local para verificar los datos y obtener la información correcta.

2. Desconfía de los correos, llamadas telefónicas o mensajes de personas que no conoces y que intentan llamar tu atención con actualizaciones sobre las vacunas.

3. Revisa siempre las URLs. Los hackers están creando sitios que parecen instituciones de salud oficiales y proveedores de vacunas. Navega directamente a sitios web oficiales como CDC.gov y el sitio web oficial de tu estado o ciudad.

4. Usa contraseñas fuertes y únicas para todas tus cuentas al registrarte y usa MFA/2FA siempre que sea posible.

5. No te conectes a redes que no reconozcas. Investiga información sobre vacunas en tu red WiFi doméstica segura, la cual debe estar protegida por una contraseña fuerte.

6. Ten especial cuidado si estás usando un dispositivo propiedad de la empresa. Los actores de amenazas buscan acceso a la organización para la que trabajas, con la intención de robar datos.

7. Asegúrate de que tu dispositivo tenga las actualizaciones y parches más recientes.

8. Mantente atento a intentos de vishing – Desconfía mucho de cualquier persona que te llame y te pida compartir información de acceso por teléfono. Una buena regla general para detectar intentos de vishing y phishing es detenerte y preguntarte si esperabas esa llamada o mensaje. Si no es así, contacta directamente a la empresa para verificar si el mensaje o la llamada son, de hecho, reales.

El intento de phishing a continuación, capturado por Cofense, es un poco más detallado, pero aun así contiene muchas señales de alerta:

Señales de alerta en este intento de phishing:

1. Línea de asunto – De nuevo, observa el uso de letras mayúsculas y la frase “very important information”, que intenta que el destinatario haga clic en el correo sin pensar.

2. Enlace de la encuesta – La URL está suplantando la popular plataforma de encuestas SurveyMonkey, pero nota la ortografía incorrecta y la falta de un dominio de nivel superior (el segmento que normalmente sigue al nombre de dominio, como .com o .org).

3. Hipervínculo de la encuesta – El cuadro junto al enlace aparece cuando pasas el cursor sobre una URL. Al pasar el cursor sobre una URL verás el destino real del hipervínculo. El destino puede no coincidir con el texto del correo, como se ve en este ejemplo. Esta es una señal de alerta importante de que alguien está tratando de redirigirte a un sitio inseguro.

4. Errores ortográficos y fallas – Este phish tiene mejor gramática que el anterior, pero errores como “Survey’s” y la capitalización de “Today” muestran que algo en el correo es “sospechoso”.

5. Suplantación de una fuente de confianza – De nuevo, este estafador finge ser miembro del departamento de recursos humanos de una organización. Sin embargo, este remitente es un poco más detallado que el anterior. Incluyeron un nombre y un cargo específicos: “Dawn, Director of Human Resources”, haciendo que parezca más probable que este correo provenga de un remitente legítimo.

Muchos correos electrónicos, mensajes de texto y llamadas telefónicas están usando mensajes más sofisticados, con cada vez menos señales de alerta obvias. Recuerda leer los mensajes con cuidado. Siempre es importante ir más despacio, verificar dos veces al remitente y preguntarte si esperabas el mensaje o la llamada en cuestión.

Confense sugiere los siguientes consejos para protegerte contra el phishing:

• Valida la fuente del correo con sitios web oficiales del gobierno (por ejemplo, CDC, OMS o los sitios web oficiales del departamento de salud de tu ciudad y estado).

• Si el remitente es alguien con quien normalmente interactúas pero el mensaje parece “raro”, verifícalo por otro canal (teléfono, mensaje de texto o un nuevo correo electrónico). Es posible que su cuenta haya sido comprometida.

• Nunca reveles tu información personal a fuentes no confiables, incluido tu nombre de usuario y contraseña.

• Crea nombres de usuario y contraseñas únicos por sitio web y/o aplicación. Muchos sitios web y aplicaciones ahora te permiten crear un nombre de usuario que no sea tu dirección de correo electrónico.

• Configura una bóveda de contraseñas para almacenar todos estos inicios de sesión únicos. Adopta el hábito de abrir la bóveda cada vez que crees un nuevo inicio de sesión para un sitio web o una aplicación.

• Activa la autenticación multifactor (MFA o 2FA) para cualquier sitio web o aplicación que tenga esa capacidad. Si tu información de acceso se obtiene mediante una filtración de datos, esto añade un nivel adicional de protección.

• Si recibes una notificación de una filtración de datos que afecte tu información de acceso, cámbiala de inmediato y actualiza tu bóveda.

Recursos adicionales:

1. Concientización sobre seguridad, episodio 4: phishing y ransomware, de NCSA, Adobe y Speechless Inc

2. Pon a prueba tus conocimientos sobre phishing; prueba el cuestionario de phishing de Google

3. El blog y centro de recursos gratuitos de Cofense

4. El blog y centro de recursos de Mimecast

   • El informe de Mimecast, “The Year Of Social Distancing”, sobre los desafíos de seguridad del nuevo espacio de trabajo digital.