Protege tu cuenta contra el phishing

El término phishing describe las estafas de usurpación de identidad que involucran páginas web y correos electrónicos falsos u otros mensajes. El objetivo de realizar un ataque de phishing es obtener acceso a tu cuenta e información confidencial. Un atacante puede crear su propia página web que imita a una confiable o enviarte un mensaje que pareciera provenir de una fuente confiable. Los mensajes de phishing pueden provenir ya sea de una cuenta falsa o de una cuenta que ha sido pirateada.

Un mensaje de phishing podría solicitarte que completes las siguientes tareas:

  • Visitar un enlace.
  • Descargar un archivo.
  • Abrir un archivo adjunto.

Malware — o software malicioso como gusanos, troyanos, bots y virus — pueden infectar tu computadora o dispositivo móvil si realizas alguna de las siguientes acciones. Luego de que tu dispositivo se infecta, un intruso puede tener acceso a tu información personal.

Las llamadas estafas de phishing también pueden incluir solicitudes directas de información personal como información de tu cuenta bancaria.

Este tipo de estafas pueden solicitarte que envíes información personal en alguna de las siguientes formas:

  • Por correo electrónico o algún otro sistema de mensajería.
  • A través de un formulario.
  • A un número telef´ónico fraudulento.
  • A una dirección física falsa.

Hasta una solicitud de que ingreses tu dirección de correo electrónico y restablezcas tu contraseña puede ser peligrosa.

Señales de advertencia

Puedes protegerte contra el phishing si comprendes las señales de emergencia. Independientemente de quien te envíe un mensaje, léelo con detenimiento y ve bien los sitios web, sin importar cuán familiares te puedan parecer.

Lenguaje excesivamente general

Aunque el phishing puede ser el resultado de una investigación a fondo, e incluso estar adaptada a tí y a tu empresa, el lenguaje general es la marca distintiva de este tipo de estafas. Ten cuidado con los mensajes que parecen provenir de una organización en la que confías pero que se tienen mensajes vagos, por ejemplo:

Estimado titular de la cuenta,

Del mismo modo, si un mensaje promete una oportunidad comercial o financiera importante pero no ofrece suficientes detalles que te permitan confirmar que el remitente te conoce, entonces podría ser una estafa:

Mi nombre es Fredy y trabajo en la banca. Por favor escríbeme cuanto antes con relación a la posible herencia de un familiar que acaba de fallecer. No puedo compartir mucha información por medio de mensajes de texto. Envíame un correo electrónico a la dirección que aparece a continuación.

Mensajes comerciales desde cuentas personales

Existen atacantes sofisticados que pueden recopilar suficiente información de su presencia en línea para crear un mensaje que da la impresión de haber sido enviado por un contacto real:

Actualización de precios a mayoristas

Hola Georgia, solo quería ponerte al día. Te estoy enviando una hoja de cálculo de nuestros precios actuales al por mayor: fabric-prices-2016-oct.xls

¡Espero hayas quedado satisfecha con el último lote de camisas! Por favor avísame si tienes alguna pregunta o inquietud.

--

Julia Chan

Gerente de cuentas

Ejemplo de telas

Para enviar un ataque, pueden hackear la cuenta comercial de tu contacto o crear una cuenta personal falsa. Por ejemplo, si el nombre de usuario del correo electrónico personal de tu contacto Julia es juliachan3857, el atacante podría enviarte un correo electrónico desde una cuenta con el nombre de usuario juliachan9665. Esta forma de ataque depende de dos factores:

  • La gente envía correos electrónicos desde una cuenta equivocada por error.
  • Incluso si conoces la dirección de correo electrónico personal de Julia, puede que no prestes tanta atención.

Errores de ortografía, mala gramática y variaciones de estilo

Los delincuentes no toman las guías de estilo de redacción de contenidos tan en serio como los redactores profesionales de contenido web. Además de errores tipográficos y gramaticales, las variaciones en las siguientes categorías dentro de una sola página pueden mostrar que un sitio web es fraudulento:

  • La ortografía.
  • Ausencia o presencia de letras mayúsculas.
  • Ausencia o presencia de números.
  • Errores de puntuación.
  • El formato.

Tono alarmista o de emoción

Debes estar atento a solicitudes urgentes que buscan asustarte para que actúes sin razonar. Por ejemplo, Shopify no te va a mandar un mensaje que diga:

Hemos tenido una falla catastrófica en nuestro servidor. Envíanos tu nombre de usuario y contraseña en las próximas 24 horas o perderás el acceso a tu tienda de forma permanente.

Del mismo modo, presta atención a mensajes que ofrecen ofertas que son muy buenas como para ser ciertas, como un 90% de descuento de una compañía de viajes disponible únicamente si actúas ahora.

URLs que no se ven bien

Los intentos de phishing pueden incluir URLs que parecen ser legítimas si no las ves bien. Muchos intentos de phishing utilizan URL que se han sido seleccionadas de manera deliberada para parecerse a una URL con la que ya estás familiarizado. Como se muestra en la tabla a continuación, si normalmente compras un traje de natación de Example Apparel en la URL legítima y recibes un correo electrónico con un enlace a la URL falsa, entonces puedes ver que estás ante un intento de phishing.

La URL real te dirige a un sitio en el dominio example-apparel.com, que es propiedad de Example Apparel, y la URL falsa te dirige a un sitio malicioso en el dominio com-aquatic.net, que probablemente sea propiedad de delincuentes.

URL legítima URL falsa
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Plantea tus preocupaciones usando otro forma de comunicación

Habla con el supuesto remitente del mensaje sospechoso en persona, o por teléfono, y aclara cualquier duda en relación a la página web hablando con alguien de la organización.

Si contactas al remitente por teléfono, usa el número que aparezca en tus archivos, o al número que aparezca en varias fuentes en línea confiables. Por ejemplo, si recibes por correo electrónico una solicitud de información de la autoridad tributaria de tu país, que te parece sospechosa, llama a dicha autoridad al número que aparece en la declaración de impuestos del año pasado. No llames a ningún número que aparezca en algún sitio web o correo electrónico sospechoso.

Asegúrate de que tu conexión a un sitio web use HTTPS

Cuando ingresas a cualquier sitio web en donde te podrían pedir que ingreses un número de usuario y contraseña, o algún otro dato sensible, asegúrate de que el icono del candado aparezca junto a la URL en tu navegador:

El icono del candado significa que la conexión al sitio está encriptada usando el protocolo de HTTPS. Las URL para conexiones encriptadas comienzan con https:// en lugar de http://. Las conexiones que usan http:// envían los datos en texto sin formato, lo que significa que pueden ser interceptados y leídos en ruta.

Antes de hacer clic en un vínculo en cualquier lugar donde esperes introducir información, asegúrate de que la URL empiece con https://.

Abre únicamente los archivos adjuntos o enlaces que esperas

No interactúes con archivos adjuntos, enlaces o formularios a menos que los estés esperando y sepas qué contienen. Puesto que no solamente te pueden redirigir a un sitio web malicioso diseñado para robarte información, sino que también pueden infectar tu dispositivo con malware.

Cuando el texto del vínculo sea un URL, asegúrate de que coincida con el URL en el vínculo. Por ejemplo, un vínculo que aparezca como: https://help.shopify.com en el cuerpo de un correo electrónico podría dirigirte a una página de phishing en otra URL:

Muchos ataques de phishing buscan aprovecharse de la banca en línea. Si recibes un correo electrónico sospechoso de tu banco, con una oferta especial para una línea de crédito, por favor no abras el vínculo. En lugar de abrir el vínculo, ingresa el URL de tu banco de forma manual en una ventana nueva y fíjate si la oferta aparece en el panel de tu cuenta.

Cuidados con redes de WiFi públicas

Las redes públicas de WiFi son muy útiles cuando estás en la calle, pero al mismo tiempo, ofrecen muchas formas para que los delincuentes tengan acceso a tu información. Puedes mitigar los riesgos tomando medidas para protegerte a tí y a tus datos.

Verifica los nombres de los puntos de acceso.

Un atacante puede crear su propio punto de acceso no encriptado que tenga el nombre de un punto de acceso de buena reputación en la misma zona, como por ejemplo, la red de WiFi de una cafetería. Si te conectas al punto de acceso de phishing, el atacante puede dirigirte a su propia página en donde quedarás expuesto a malware, o en donde te solicitarán que ingreses información confidencial.

Antes de conectarte, asegúrate de que el punto de acceso al que te vas a conectar, es seguro. Si no puedes ver el nombre del punto de acceso publicado en un lugar obvio, entonces pregúntale a un empleado.

Deshabilita la conexión a los puntos de acceso en tu dispositivo

Incluso si te has conectado a un punto de acceso público legítimo de wi-fi, aún podrías estar en riesgo al estar en la misma red que un atacante. Las redes públicas de wi-fi son mucho menos seguras que las redes privadas como la de tu casa u oficina:

Protégete desactivando el uso compartido de archivos dentro de tu red y habilita tu firewall antes de conectarte. Incluso con estas precauciones, no es una buena idea enviar o recibir contenido sensible utilizando una red pública de Wi-Fi.

Envía y recibe información sensible por medio de un VPN

Una red privada virtual (VPN en inglés) establece una conexión segura entre tu dispositivo y los servidores de la empresa VPN. Desde allí, los servidores VPN transmiten tu información a la internet. Si un atacante logra ingresar a los datos que estás transmitiendo y recibiendo por medio de un punto de acceso público de wi-fi, los datos están encriptados y no les serán útiles:

Techradar y PC Mag son buenos lugares para comenzar si deseas aprender a elegir una VPN.

Sin un VPN, la opción más segura es simplemente evitar transmitir información sensible por medio de redes públicas de wi-fi.

Sigue las instrucciones del gobierno si tu información personal se ve comprometida

La información personal identificable (PII en inglés) consiste en datos que pueden ser usados para identificar una persona en particular, o incluso para suplantarlos. Los tipos de PII incluyen:

  • Nombre completo.
  • Dirección de correo electrónico.
  • Dirección.
  • Número de teléfono.
  • Número de tarjeta de crédito.
  • Número de identidad nacional (como SIN, SSN o pasaporte).
  • Licencia de conducir.
  • Fecha de nacimiento.

Si proporcionaste información de identificación personal por medio de un canal sospechoso, o tu cuenta de Shopify estuvo comprometida, consulta las guías de tu gobierno, como la información que se muestra a continuación de los gobiernos de Canadá y de los Estados Unidos:

Canadá

Qué debes hacer:

Haz un reporte:

Estados Unidos

Qué debes hacer:

Haz un reporte:

¿Estas listo(a) para comenzar a vender con Shopify?

Pruébala gratis