Proteger tu cuenta contra phishing, vishing y smishing

El término phishing describe las estafas de usurpación de identidad que involucran páginas web y correos electrónicos falsos u otros mensajes. El objetivo de realizar un ataque de phishing es obtener acceso a tu cuenta e información confidencial. Un atacante puede crear su propia página web que imita a una confiable o enviarte un mensaje que pareciera provenir de una fuente confiable. Los mensajes de phishing pueden provenir ya sea de una cuenta falsa o de una cuenta que ha sido pirateada.

Los atacantes también pueden probar tácticas similares para atacar tu cuenta con el uso de vishing (phishing por voz) y SMiShing (phishing por SMS o texto) para recopilar información confidencial. Debes tener cuidado de no proporcionar información confidencial por teléfono y no abrir enlaces potencialmente comprometedores enviados a través de SMS. Si crees que recibiste una llamada o un SMS de phishing, es recomendable que contactes a atención al cliente de Shopify de inmediato.

Un mensaje de phishing podría solicitarte que completes las siguientes tareas:

• visitar un enlace;
• descargar un archivo;
• abrir un archivo adjunto;
• responder con información personal o códigos de autenticación en dos pasos.

Si realizas cualquiera de estas acciones, puedes infectar tu computadora o dispositivo móvil con malware, que es software malicioso, como gusanos, troyanos, bots y virus. Una vez infectado el dispositivo, un atacante puede tener acceso a tu información personal.

Las llamadas estafas de phishing también pueden incluir solicitudes directas de información personal como información de tu cuenta bancaria.

Las estafas de phishing podrían solicitarte que proporciones información personal de las siguientes maneras:

• por correo electrónico o algún otro sistema de mensajería;
• a través de un formulario;
• uso de un número de teléfono fraudulento;
• uso de una dirección física falsa.

Hasta una solicitud de que ingreses tu dirección de correo electrónico y restablezcas tu contraseña puede ser peligrosa.

Señales de advertencia

Puedes protegerte contra el phishing si comprendes las señales de emergencia. Independientemente de quien te envíe un mensaje, léelo con detenimiento y ve bien los sitios web, sin importar cuán familiares te puedan parecer.

Lenguaje vago o general

Aunque el phishing puede ser el resultado de una investigación a fondo, e incluso estar adaptada a ti y a tu negocio, el lenguaje general es la marca distintiva de este tipo de estafas. Ten cuidado con los mensajes que parecen provenir de una organización de confianza, pero que tienen mensajes vagos como Estimado titular de cuenta.

Además, si un mensaje promete una oportunidad comercial o financiera importante, pero no ofrece suficientes detalles que te permitan confirmar que el remitente te conoce, entonces podría ser una estafa.

Mi nombre es Fredy y trabajo en la banca.

Por favor escríbeme cuanto antes con relación a la posible herencia de un familiar que acaba de fallecer.

No puedo compartir mucha información por medio de mensajes de texto. Envíame un correo electrónico a la dirección que aparece a continuación.

Mensajes comerciales desde cuentas personales

Existen atacantes sofisticados que pueden recopilar suficiente información de tu presencia online para crear un mensaje que da la impresión de haber sido enviado por un contacto real.

Actualización de precios de mayorista

Hola, Georgia:

Solo quería ponerte al día. Te envío una hoja de cálculo de nuestros precios de mayorista actuales: fabric-prices-october.xls

¡Espero hayas quedado satisfecha con el último lote de camisas! Por favor avísame si tienes alguna pregunta o inquietud.

Julia Chan
Gerente de cuentas
Example Fabrics

Los atacantes pueden hackear la cuenta comercial de tu contacto o crear una cuenta personal falsa para enviar un correo electrónico de phishing. Por ejemplo, si el nombre de usuario del correo electrónico personal de tu contacto Julia es juliachan3857, el atacante podría enviarte un correo electrónico desde una cuenta con el nombre de usuario juliachan9665. Esta forma de ataque depende de los siguientes comportamientos:

• La gente a menudo envía correos electrónicos desde una cuenta equivocada por error.
• Incluso si conoces la dirección de correo electrónico personal de Julia, puede que no prestes tanta atención y no notes la diferencia.

Tono alarmista o de emoción

Ten en cuenta las solicitudes urgentes que buscan asustarte para que actúes sin razonar. Por ejemplo:

Hemos tenido una falla catastrófica en nuestro servidor. Envíanos tu nombre de usuario y contraseña en las próximas 24 horas o perderás el acceso a tu tienda de forma permanente.

Los correos electrónicos pueden contener ofertas que son muy buenas como para ser ciertas, como un 90% de descuento de una empresa de viajes disponible únicamente si actúas ahora.

Errores de ortografía, mala gramática y variaciones de estilo

Aunque un sitio web o correo electrónico fraudulento pueda parecer profesional, es posible que tenga errores tipográficos y gramaticales. Para determinar si un sitio web o correo electrónico puede ser fraudulento, busca el uso incorrecto o las inconsistencias en lo siguiente:

• ortografía;
• uso de mayúsculas;
• Números
• puntuación;
• Formato

URL sospechosas

Los intentos de phishing pueden incluir URL que parecen ser legítimas si no prestas suficiente atención. Muchos intentos de phishing utilizan URL que se han seleccionado de manera deliberada para parecerse a una con la que ya estás familiarizado. Por ejemplo, si normalmente compras un equipamiento de natación de Example Apparel en la URL legítima y recibes un correo electrónico con un enlace a una URL falsa, se podría decir que estás ante un intento de phishing.

La URL real te dirige a un sitio en el dominio example-apparel.com, que es propiedad de Example Apparel, y la URL falsa te dirige a un sitio malicioso en el dominio com-aquatic.net, que probablemente sea propiedad de delincuentes.

Shopify y solicitudes de documentos confidenciales

Shopify nunca te pedirá información confidencial directamente a través de un correo electrónico que sea un texto o imagen, o como archivo adjunto.

Los siguientes son ejemplos de documentos confidenciales:

• cualquier forma de identificación;
• Contraseñas
• información de la tarjeta de crédito;
• información bancaria;
• números nacionales de identidad, como el SIN (número de seguro social) o el SSN (número de Seguro Social).

Shopify solo solicita que envíes documentos confidenciales a través de una página de carga segura que comienza con app.shopify.com o .shopify.com.

Plantea tus preocupaciones usando otro forma de comunicación

Habla con el supuesto remitente del mensaje sospechoso en persona, o por teléfono, y aclara cualquier duda en relación a la página web hablando con alguien de la organización.

Si contactas al remitente por teléfono, usa el número que aparezca en tus archivos, o el número que aparezca en varias fuentes online confiables. Por ejemplo, si recibes por correo electrónico una solicitud de información de la agencia tributaria de tu país que te parece sospechosa, llama a dicha agencia al número que aparece en la declaración de impuestos del año pasado. No llames a ningún número que aparezca en algún sitio web o correo electrónico sospechoso.

Verificar que tu conexión a un sitio web use HTTPS

Cuando ingreses a cualquier sitio web en el que te soliciten introducir un número de usuario y contraseña u otro dato confidencial, verifica que el ícono de candado aparezca junto a la URL en tu navegador.

El ícono de candado significa que la conexión al sitio está encriptada con el protocolo HTTPS. Las URL para conexiones encriptadas comienzan con https:// en lugar de http://. Las conexiones que usan http:// envían los datos en texto sin formato, lo que significa que pueden ser interceptados y leídos en ruta.

Antes de hacer clic en un enlace en cualquier lugar donde esperes introducir información, verifica que la URL empiece con https://.

Abrir solo los archivos adjuntos o enlaces que esperas recibir

No interactúes con archivos adjuntos, enlaces o formularios a menos que los estés esperando y sepas qué contienen. Puesto que no solamente te pueden redirigir a un sitio web malicioso diseñado para robarte información, sino que también pueden infectar tu dispositivo con malware.

Cuando el texto del enlace sea una URL, verifica que coincida con la URL del mismo enlace. Por ejemplo, un enlace que aparezca como https://help.shopify.com en el cuerpo de un correo electrónico podría dirigirte a una página de phishing con otra URL.

Muchos ataques de phishing buscan aprovecharse de la banca online. Si recibes un correo electrónico sospechoso de tu banco, con una oferta especial para una línea de crédito, no hagas clic en el enlace. En lugar de abrirlo, introduce la URL de tu banco de forma manual en una ventana nueva y fíjate en si la oferta aparece en el panel de control de tu cuenta.

Cuidados al usar una red wifi pública

La red wifi pública es muy útil cuando no estás en casa ni en el trabajo, pero al mismo tiempo ofrece muchas formas para que los atacantes tengan acceso a tu información. Puedes mitigar los riesgos tomando medidas para protegerte a ti y a tus datos.

Verifica los nombres de los puntos de acceso.

Un atacante puede crear su propio punto de acceso wifi no encriptado con un nombre similar al de uno de buena reputación en la misma zona, como por ejemplo, la red wifi de una cafetería. Si te conectas al punto de acceso de phishing, el atacante puede dirigirte a su propia página, donde quedarás expuesto a malware o te solicitarán que ingreses información privada.

Antes de conectarte, asegúrate de que el punto de acceso al que te vas a conectar es seguro. Si no puedes ver el nombre del punto de acceso publicado en un lugar obvio, pregúntale a un empleado de esa sucursal.

Desactivar la conexión a los puntos de acceso en tu dispositivo

Incluso si te conectaras a un punto de acceso wifi público legítimo, aún podrías estar en riesgo por estar en la misma red que un atacante. Las redes wifi públicas son mucho menos seguras que las redes privadas, como la de tu casa u oficina.

Protégete desactivando el uso compartido de archivos dentro de tu red y activa tu firewall antes de conectarte. Incluso con estas precauciones, no es una buena idea enviar o recibir contenido confidencial utilizando una red wifi pública.

Enviar y recibir información confidencial solo por medio de una VPN

Una red privada virtual (VPN, virtual private network) establece una conexión segura entre tu dispositivo y los servidores de la empresa VPN. Desde allí, los servidores VPN retransmiten tu información a internet. Si un atacante accede a los datos que estás transmitiendo y recibiendo a través de un punto de acceso wifi público, los datos están encriptados y no les serán útiles.

Techradar y PC Mag son buenos lugares para comenzar si deseas aprender a elegir una VPN.

Sin una VPN, la opción más segura es, simplemente, evitar transmitir información confidencial por medio de una red wifi pública.

Seguir las pautas del gobierno si tu información personal se ve comprometida

La información de identificación personal (PII, personally identifiable information) consta de datos que podrían usarse para identificar a una persona determinada, o incluso hacerse pasar por ella. La PII incluye los siguientes tipos de información:

• nombre completo;
• Dirección de correo electrónico
• dirección;
• número de teléfono;
• número de tarjeta de crédito;
• número de identidad nacional, como SIN, SSN o pasaporte;
• licencia de conducir;
• fecha de nacimiento.

Si proporcionaste información de identificación personal por medio de un canal sospechoso o tu cuenta de Shopify ha sido vulnerada, consulta las guías de tu gobierno, como esta información de los gobiernos de Canadá y de los Estados Unidos.

Canadá

Qué debes hacer:

• RCMP - Guía de asistencia para víctimas de fraude de identidad y robo de identidad

Haz un reporte:

• Centro canadiense contra el fraude: reporte el incidente

Estados Unidos

Qué debes hacer:

• Comisión Federal de Comercio: informar fraude;
• FTC - Robo de identidad: Pasos a seguir

Haz un reporte:

• FBI: delitos cibernéticos.