Open menu
ASV Logo

Ciberseguridad

Cada vez más organizaciones son víctimas de suplantaciones de identidad por parte de ciberatacantes. Utilizando diversas técnicas de ingeniería social, estos agentes engañan a los usuarios para que piensen que se trata de una comunicación legítima y lleven a cabo alguna acción: pinchar en un enlace, ofrecer datos personales, descargar un archivo, etc.

Así, sin darse cuenta, están siendo el objetivo de un intento de fraude que, de funcionar, provocará un robo de información, una estafa económica o que sus dispositivos se vean infectados por algún tipo de malware.

¿Pueden suplantar la identidad de Grupo ASV?

Al igual que con cualquier otra entidad, los ciberatacantes pueden suplantar la identidad de Grupo ASV a través de las tres principales vías de comunicación empleadas por empresas y organismos para contactar con clientes y usuarios:

  • A través de correo electrónico: Phishing
  • A través de una llamada telefónica: Vishing
  • A través un mensaje SMS: Smishing

Características generales

Estos intentos de fraude siempre están caracterizados por la urgencia para que se lleve a cabo alguna acción: actualizar los datos personales y económicos para renovar una suscripción, solucionar un problema con una cuenta de usuario, realizar un pago o recibir un reembolso debido a una supuesta equivocación, descargar una factura o comprobante, etc.

Para hacerlo creíble y que el usuario caiga en la trampa, imitan al remitente y su apariencia, utilizando su nombre, empleando logotipos, firmas, etc. de la organización suplantada, llegando incluso a crear una falsificación de la página web. Además, en el caso del Vishing, también pueden haber recopilado información de la víctima para ganarse su confianza.

Así, y dado que el usuario entiende que para no perder algo debe realizar lo que se le solicita cuanto antes, es muy probable que no se pare a pensar si se trata de un fraude, ya que de un rápido vistazo todo parece ser legítimo.

Sin embargo, estos fraudes no son perfectos y, si tenemos en cuenta una serie de detalles, podremos identificarlos. En función del canal empleado, debemos tener en cuenta:

Phishing

  • El dominio del remitente: suele ser muy parecido al original, pero con algunas letras o símbolos que lo modifican levemente.
  • La forma de dirigirse al destinatario: dado que suelen ser correos enviados en masa, habitualmente se dirigirán a nosotros de forma genérica, sin emplear nuestro nombre, lo cual no suele suceder cuando se trata de una comunicación legítima.
  • El lenguaje: suelen contener fallos en la escritura, debido a que en numerosas ocasiones son traducciones automáticas de correos redactados en otros idiomas. Así, nos podemos encontrar con errores semánticos, ortográficos, gramaticales, símbolos extraños en medio de una palabra, oraciones mal construidas, etc.
  • Enlaces: estos suelen estar acortados o incluidos en botones para que no se vea a simple vista el link original. Como esta es una práctica bastante común y también empleada en correos legítimos, podemos posicionar el cursor sobre el enlace para que se muestre el original, o bien copiarlo y pegarlo en el navegador, sin llegar a acceder. Además, muchos de estos enlaces comienzan por “http”, en lugar de “https”, lo que indica que no son seguros y ya nos puede hacer desconfiar. No obstante, cada vez son más sofisticados y pueden incluir esa “s”, no siendo ya un indicativo muy fiable de su legitimidad.
  • Adjuntos: Cuando el objetivo es infectar un dispositivo, es muy común adjuntar algún fichero que esconde malware, camuflándolo de un documento importante para el usuario. Por ello, antes de descargar nada es imprescindible confirmar la legitimidad del mensaje

Vishing

  • El número de teléfono: Es un número que desconocemos y, probablemente, nuestro dispositivo nos avise de que puede tratarse de spam. En ese caso, antes de aceptar la llamada es recomendable buscar el número en internet para ver si hay reseñas negativas asociadas al mismo.
  • Tienen información sobre nosotros: a diferencia de los correos masivos de phishing, el ciberatacante suele recopilar información previa sobre la víctima, como su nombre y apellidos, correo electrónico o domicilio.
  • ¿Qué nos están pidiendo? Valiéndose de la información confidencial que ya poseen, se ganan la confianza de la víctima para pedirle aquellos datos que les faltan, pero que, de ser una llamada legítima, ya deberían tener y no solicitar de nuevo.

Smishing

  • La forma de dirigirse al destinatario: muchos de estos mensajes no incluyen ningún tipo de saludo dirigido al usuario y, si lo incluyen, al igual que ocurre con el phishing, será de forma muy genérica, como “Hola”, “Buenas tardes” o “Estimado cliente”.
  • Enlaces: Los mensajes fraudulentos a través de SMS suelen contener enlaces para que accedamos con alguna excusa. Estos pueden presentarse de dos maneras: están acortados para que no veamos a simple vista el link original, o bien se muestran y contienen variaciones respecto a los enlaces reales.
  • Lenguaje: Estos SMS también suelen contener errores en la escritura, muchos de ellos debido a una mala traducción de otro idioma.

Cómo diferenciar una comunicación real de Grupo ASV de un intento de fraude.

En caso de ser supuestamente contactado por parte de Grupo ASV o algunas de las compañías que lo integran, hay que tener en cuenta lo siguiente:

  • La compañía dispone de unos cauces establecidos y unos canales oficiales de comunicación. Revisa el remitente del correo o el número de teléfono que te ha contactado y asegúrate de que pertenece a Grupo ASV. En el caso de ser un remitente de correo, recuerda que puede ser muy similar al oficial, pero con algunas diferencias.
  • Si el mensaje recibido contiene algún enlace, antes de acceder a este asegúrate de que es un link oficial de Grupo ASV. En caso de duda, no pinches en este.
  • Desde Grupo ASV nunca solicitamos a nuestros clientes información confidencial que ya nos hayan ofrecido con anterioridad, especialmente datos bancarios. Solo en determinados casos y para verificar la identidad del cliente, se les pedirán algunos dígitos, pero en ningún caso todos los números de una tarjeta bancaria o IBAN, pues ya disponemos de ellos.
  • En ningún caso exigimos a un cliente a través de un correo electrónico o un SMS realizar un trámite con urgencia.

¿Qué debo hacer si recibo un correo sospechoso?

Si la información anterior te hace dudar sobre la legitimidad del correo, SMS o llamada telefónica, no ofrezcas ningún dato personal ni interactúes con el mensaje. Recopila, si es posible, toda la información de la que dispongas sobre esta comunicación y contacta inmediatamente con Grupo ASV por alguna de sus vías oficiales.

Por último, si se ha tratado de un intento de fraude, elimina el correo o SMS recibido y bloquea el remitente o número de teléfono a través del cual has sido contactado.