Qué es el phishing, cómo funciona y cómo evitar caer en la trampa.
Desde el inicio de las medidas de distanciamiento social, los equipos de trabajo de despachos y compañías se encuentran particularmente vulnerables a ser víctimas de robos de identidad ya que la comunicación no es tan inmediata como antes y las redes domésticas no son tan seguras como las redes de una compañía.
En ese sentido, es probable que más de un miembro de estas compañías o firmas contables hayan recibido correos de un remitente que dice ser representante del SAT. Si esto sucede, deberá guardar precauciones pues seguramente se trate de un intento de phishing.
Phishing ¿por qué funciona? ¿cómo funciona?
El phishing (se pronuncia físhing) o “robo de identidad” es una especie de fraude por internet que, de acuerdo con información de la Policía Federal, consiste en “suplantar la imagen de una empresa o entidad pública, a fin de hacer creer a la víctima que los datos solicitados provienen de un sitio oficial, cuando en realidad lo que se busca es cometer un delito”. Según Kaspersky Lab, el phishing en general tiene el objetivo de:
· Infectar el equipo con malware (virus)
· Robar credenciales para obtener dinero o identidad
· Obtener control de las cuentas de correo, redes sociales, etcétera.
· Convencer a la víctima a voluntariamente enviar dinero o cualquier objeto de valor.
El phishing funciona porque no solo utiliza tecnología para lograr sus objetivos, sino que se basa en “hackear” personas usando una falsa urgencia, su confianza y sus emociones. Un mensaje malicioso de phishing diría algo como: “Podría perder su cuenta bancaria si no actualiza sus datos antes de la siguiente semana”. Si el mensaje está diseñado de forma que parece un correo bancario institucional, es probable que alguien caiga en la trampa.
Mensajes apócrifos del SAT
Puesto que el SAT es una institución de relevancia en el país, diversos hackers han usado la imagen del organismo para obtener información de los contribuyentes. Correos como el siguiente son relativamente comunes y tiene el solo propósito de aprovecharse de las personas obteniendo sus datos fiscales, cuentas bancarias, número de seguridad social, etcétera:
¿Cómo detectar un correo falso?
La página del SAT alrededor de correos apócrifos señala algunos puntos para identificar si un correo es falso. En ese sentido, al recibir un correo sospechoso, es recomendable hacerse las siguientes preguntas:
El correo recibido…
· ¿se refiere al contribuyente por su correo electrónico, en vez de por su nombre?
· ¿proviene de correos electrónicos que no tienen dominio @sat.gob.mx?
· ¿busca llamar mi atención a través de amenazas de multas o promesas de menos impuestos?
· ¿el remitente puede identificar su identidad en caso de que se le solicite?
· ¿solicita instalar software o descargar un archivo?
· ¿solicita información personal, claves o contraseñas?
· ¿contiene un enlace (link, o vínculo) al cual el contribuyente tiene que acceder? ¿el enlace es desconocido o se encuentra abreviado (usa, por ejemplo, tiny url, bit.ly)?
· ¿los enlaces contienen el inicio http, en vez de https?
· ¿refiere a número telefónicos distintos al número de MarcaSAT (55 627 22 728)?
· ¿contiene logotipos del SAT y de la SHCP que aparecen distorsionados o desproporcionados o cualquier otro detalle extraño?
Si contesta positivo a alguna de las preguntas anteriores, seguramente sea un caso de phishing. Es posible confirmar si un correo es falso ingresando la dirección de email en el Buscador de correos apócrifos del SAT.
Cabe resaltar que aun cuando el correo parezca legítimo y contenga información legítima, los hackers pueden mezclar información verdadera con información dañina, por lo cual, ante cualquier duda, puede revisar los medios oficiales de contacto del SAT, como el Buzón Tributario, para corroborar si el mensaje contenido en el correo sospechoso es verdadero o no.
¿Qué hacer si recibí un correo falso?
Primeramente, es necesario mantener la calma. El recibir un correo falso no significa que la computadora esté contaminada. Por lo tanto, siguiendo las recomendaciones del SAT, si recibe un correo falso:
· No acceda al correo falso y elimínelo.
· No otorgue información confidencial. Si lo hizo, cámbiela inmediatamente o avise a las personas correspondientes.
· En caso de haber abierto o ejecutado archivos que se descarguen de enlaces maliciosos, revise su equipo para evitar el mal uso de tu información.
¿Cómo puedo proteger mi equipo de trabajo y a mí de un ataque de phishing?
Primero es necesario comprender que los riesgos de crímenes informáticos existen y hay que estar preparado. De acuerdo con Malia Politzer, escritora freelancer en Journal of Accountancy, “las empresas de contabilidad pequeñas y medianas suelen ser objetivos deliberados y principales del robo de datos” ya que “alojan datos confidenciales de los clientes y pueden actuar como puentes a empresas más importantes o grandes”. Por lo tanto, los siguientes son consejos generales que permitirán disminuir los riesgos de una violación de ciberseguridad:
· Mantenga actualizado el software personal y el de su equipo de trabajo.
· Comunique a su equipo de trabajo acerca de los riesgos de phishing de forma que permitan identificar y responder apropiadamente si se encuentran en esta situación.
· Facilite una línea de comunicación con el objetivo de reportar cuanto antes cualquier sospecha de phishing
· Tenga un respaldo de información actualizado en caso de que deba formatear sus equipos
· Delimite la información a la que puedan acceder los miembros de tu equipo, de modo que únicamente tengan acceso a la información necesaria para el desempeño de sus actividades.
· Elimine información que ya no sea necesaria, como reportes financieros o actas por las cuales ya no hay una obligación legal para almacenar.
Notas finales
Como se menciona anteriormente, todos los despachos, grandes y pequeños, son vulnerables a un ciber ataque. Lo más importante es reconocer que este riesgo existe y blindar los actuales sistemas de la organización.
Fuente: Fiscalia. (2020). Técnicas para detectar mensajes del SAT apócrifos. Diciembre 08, 2020, de FISCALIA Sitio web: https://www.fiscalia.com/
