Qué es y cómo detectar una estafa de phishing al responsable de los fondos de una empresa
Este es el primer paso: Toma el control de tus emociones. Sí, puede ser difícil si trabajas en un campo exigente. Pero es tu mejor primera defensa, y tu jefe te lo agradecerá (o, al menos, debería hacerlo).
Confirma a través de un segundo canal
Ahora que cuestionas con escepticismo la legitimidad de la solicitud urgente, comprueba que el correo electrónico procede de la persona que dice ser. La mejor forma de hacerlo es preguntar, pero con cuidado.
«Si recibes un correo electrónico de este tipo, es importante que tomes el teléfono y llames al número que sepas que es legítimo», recomienda Larson, añadiendo una advertencia: «No te fíes de un número de teléfono en el propio correo electrónico: será propiedad del actor de la amenaza».
Este es un punto crucial: Cualquier información de contacto que aparezca en el propio correo electrónico puede estar comprometida, y a veces de forma inteligente. Utiliza el número de teléfono que tienes guardado en tu teléfono para la persona en cuestión, o busca el número de teléfono en un sitio web oficial o en un directorio oficial de la empresa. Esto se aplica incluso si el número del correo electrónico parece correcto, porque algunos estafadores se tomarán la molestia de conseguir un número de teléfono similar al de la persona a la que están suplantando, con la esperanza de que llames a ese número en lugar del real.
«He visto números de teléfono con dos dígitos menos que el real», recuerda Tokazowski.
Llama a la persona que supuestamente te ha enviado el correo electrónico, utilizando un número del que estés seguro al 100% de que es real, y confirma que la solicitud es auténtica. También puedes utilizar otro canal de comunicación seguro, como Slack o Microsoft Teams, o, si está en la oficina, preguntarle cara a cara. La cuestión es confirmar cualquier solicitud urgente en algún lugar fuera del correo electrónico inicial. E incluso si la persona es tu jefe o algún otro pez gordo, no te preocupes por hacerle perder el tiempo.
«La persona que está siendo suplantada preferiría que alguien se tomara el tiempo de confirmar que perder miles o un millón de dólares en una transacción maliciosa», explica Larson.
Mira los videos de cómo estos estafadores, conocidos como «Yahoo Boys», utilizan una tecnología de intercambio de rostros, ampliamente disponible, para llevar a cabo elaborados y truculentos engaños románticos en tiempo real. Es una de las primeras veces que se documentan con tanto detalle estas tácticas.
Verifica la dirección de correo electrónico
Ponerse en contacto con el supuesto remitente no siempre es una opción. En ese caso, hay algunos trucos que puedes utilizar para detectar si un correo electrónico es real o falso. El primero: comprueba la dirección de correo electrónico y asegúrate de que procede del dominio de la empresa.
«Comprueba siempre los dominios de los que recibes correos electrónicos», advierte Larson. A veces, esto será obvio; por ejemplo, es probable que tu director general no te envíe correos electrónicos desde una cuenta de Gmail. Otras veces será más sutil, se sabe que los estafadores compran dominios similares a los de la empresa a la que intentan defraudar, con la esperanza de parecer legítimos.
También vale la pena comprobar si la firma del correo electrónico coincide con la dirección de la que procede: «Si nos fijamos en el pie de página, utilizarán el dominio real de la empresa para que parezca legítimo, pero no coincidirá con la dirección de correo electrónico», según Larson. Una forma de comprobarlo, si sospechas, es copiar y pegar la mitad del dominio de la dirección en un navegador. Si no aparece ningún sitio web, es probable que se trate de una falsificación.
