Mensaje recibido en un ataque de phishing

¿Bloqueo judicial? ¿Multa? ¿Qué está pasando?

El 10 de septiembre recibimos un correo electrónico con este asunto «BLOQUEO JUDICIAL – Pendiente financiera – [ id 133806277 ]» Casi nos da un soponcio, ¿cómo que bloqueo judicial? ¿Hemos hecho algo mal?

Vale, tranquilicémonos y veamos qué pasa. Analizamos el cuerpo del mensaje:

Cuerpo de un mensaje recibido en un ataque de phishing

A priori podría pasar por un correo electrónico real, cabe destacar que tenemos activado que las imágenes no se carguen a menos que lo indiquemos, por lo que el hecho de que no haya ningún logo podría pasar por normal.

Veamos entonces la cuenta desde la que nos lo han enviado: 

Administracion Tributaria <impuestos@hacienda.gob.es>

Entonces, ¿nos han hecho un bloqueo judicial?

¿Qué es lo que está sucediendo?

Llegados a este punto, la verdad, es que creíamos que sí, que estaba todo correcto y que estábamos ante un bloqueo judicial. Habíamos buscado la URL y existía, quizás entonces el alias «impuestos» fuera correcto; el cuerpo del mensaje, bueno, sin más, no nos decía mucho, ni bueno ni malo, era la primera vez que recibíamos algo así por lo que no éramos capaces de determinar si el cuerpo del mensaje era lo que se solía recibir o no.

No nos habíamos descargado nada, ni tampoco cargado las imágenes, ni clicado en ningún enlace, no nos fiábamos y nos parecía sospechoso, ¿se trataba de un ataque de phishing?

Finalmente dimos con el detalle que contestó a la pregunta. El correo electrónico al que se había enviado dicha comunicación era «hola@», un correo electrónico que no está dado de alta para ningún tipo de gestión, tan solo es un correo puesto en la página web por si alguien quiere contactar con nosotras, es decir, que era imposible que la agencia tributaria nos hubiera escrito.

Por tanto, sí, se trataba de un caso de phishing

¿Phishing? ¿Qué es eso?

En esta definición hablábamos de phishing:

«El término phishing significa fraude electrónico. Proviene de la palabra inglesa fishing, pescar; y nunca mejor dicho, pues phishing da nombre al robo de datos personales como los nombres de usuarios, contraseñas o cuentas bancarias.»

Si nos sigues desde hace tiempo y nos conoces, sabes que somos unas maniáticas de la seguridad, de base aplicamos las mínimas medidas de seguridad que nos permiten las aplicaciones, y luego está que desconfiamos de cualquier mensaje que no sea «normal». 

Sin embargo, esto que nos ha pasado podría pasarle a cualquier persona, y por eso es importante ser consciente de los peligros que entraña, en este caso, un correo electrónico «inocente». No tenemos que ser expertos en ciberseguridad para que esto no nos pase, simplemente aplicar sentido común:

  • Desconfiar de lo que hemos recibido
  • No clicar en ningún enlace
  • Mucho menos descargarnos nada
  • No enviar ningún dato personal
  • Analizar si lo que hemos recibido puede ser real

Y si aún tenemos dudas sobre si lo que hemos recibido es real o no, entonces llamad por teléfono al supuesto remitente, pero no a los datos que les ponen en el correo, no, sino a la entidad o persona que ustedes conocen, en este caso hubiéramos tenido que llamar a la Agencia Tributaria, cuyo teléfono podemos encontrar en su página web.

La historia continúa

Ese correo lo marcamos como spam y lo denunciamos como ataque de phishing, y para nuestra sorpresa:

Lista de correos electrónicos recibidos en un ataque de phishing

Mismo caso, mismo proceder: spam y denuncia de phishing, eso sí, esta vez sin el susto de pensar que podría ser real. También hemos cambiado el correo electrónico donde estábamos recibiendo todo esto.

Recuerda que toda medida es poca y sobre todo, aplicar sentido común, y jamás jamás, descargarse nada, no compartir datos personales, ni clicar en enlaces. Ante todo, precaución, amigo navegante.

Te dejamos por aquí otros enlaces relacionados con el tema:

Ir arriba