Nos llega un supuesto mensaje de una entidad que conocemos con un link y le hacemos click. Después, desconfiamos de su procedencia y cerramos la web sin haber introducido ningún dato personal. ¿Es posible que nos roben los datos si solo hemos hecho click en el enlace?
Según los expertos consultados por Factchequeado lo habitual es que estos enlaces sean ataques de phishing, los timadores suplantan la identidad de una institución o empresa que conocemos y nos dirigen a una web falsa para que introduzcamos nosotros mismos nuestros datos, como los bancarios.
Sin embargo, es posible que al clicar el enlace se descargue malware (un software malicioso) en nuestro dispositivo y, si este se ejecuta, nuestro ordenador o celular estará infectado y podrían capturar nuestros datos.
En los ataques de 'phishing' la víctima introduce sus datos personales porque es engañada
Cuando le damos click a un enlace de un mensaje de phishing (que nos ha llegado por SMS, correo eléctronico, WhatsApp, etc.), "lo más habitual es que los ciberdelincuentes nos redireccionen a una página que aparenta ser lícita, pero que, sin embargo, es una copia de la original", le explica a Factchqueado Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la de la Universidad Rey Juan Carlos.
"En un ataque de phishing, el afectado introduce sus datos porque es engañado", señala Pedro Jesús Rodríguez, experto en ciberseguridad. Sin embargo, es posible que nos encontremos con un enlace sospechoso que no busca que demos nuestros datos, sino introducir malware en nuestro dispositivo.
Al clicar un enlace fraudulento se puede descargar 'malware' en nuestro dispositivo
Si hacemos click en un enlace fraudulento es posible que se descargue un archivo malicioso en nuestro ordenador o celular. Calvo apunta que algunos navegadores web nos avisan antes de descargar cualquier fichero y otros son capaces incluso de detectar e informarnos de que estamos tratando de descargar un fichero sospechoso.
Si nuestro navegador no nos advierte o decidimos ignorarlo y el malware se descarga, el riesgo dependerá de si se ejecuta o no.
Si no abrimos este fichero malicioso, es difícil que nuestro dispositivo se infecte y se pueda extraer información de él (aunque podría ocurrir, aprovechándose de alguna vulnerabilidad del sistema operativo). Sin embargo, si ejecutamos el archivo "es más que factible que nos roben".
Según Rodríguez, si el malware se descarga y se instala, los timadores podrían hacerse con el control del dispositivo "pudiendo llegar a robar información o suplantar al propietario del celular", como ocurre con el virus Cerberu o el software de espionaje Pegasus.
En esta misma línea, el informático experto en técnicas de hacking, Santiago Casteleiro, explica que, cuando hacemos click en un enlace de phishing, lo primero que podría ocurrir es que nuestro antivirus o nuestro navegador bloqueen la página web fraudulenta.
Si no hacemos caso, se podría descargar automáticamente malware en nuestro dispositivo sin nuestro consentimiento o conocimiento, un ataque conocido como drive by download.
"En este caso, dependerá de nuestra protección antivirus o de nuestro sistema operativo que estemos protegidos frente a este tipo de ataque", señala.
Por su parte, José María de Fuentes, profesor titular de Ciberseguridad de la Universidad Carlos III de Madrid, afirma que "debemos empezar a desterrar la idea de que si sólo hacemos click no pasa nada".
Por ejemplo, un enlace puede llevarnos a descargar automáticamente un archivo PDF con un código malicioso y, si tenemos configurado nuestro dispositivo para abrirlo automáticamente, nuestro ordenador o móvil se infectará.
Además, el experto señala que existen herramientas que no descargan nada en nuestro dispositivo, pero que nos muestran una página web que, "con una mínima acción", pueden robarnos datos importantes.
"¿Un ejemplo? Storm Breaker. Nos mostrará una página que, con que sólo el usuario pulse siguiente, permite cosas como el robo de la contraseña de Windows 10, obtener imágenes de la webcam o el audio del micrófono, o la localización de la víctima", explica de Fuentes.
Consejos para no caer en enlaces fraudulentos
Si nos encontramos con un enlace sospechoso y no sabemos a dónde conduce ni quién es el emisor, no debemos clicar.
Los expertos consultados por Factchequeado también recomiendan utilizar herramientas como Virus Total, una web que analiza archivos y páginas web para detectar malware y otros ataques.
Asimismo, Rodríguez, experto en ciberseguridad, apunta una serie de "medidas básicas":
- Descargar programas sólo de las fuentes oficiales.
- Desactivar la instalación de programas de fuentes desconocidas en el celular.
- No "rootear" (piratear) el celular para instalar aplicaciones de forma fraudulenta.
- Tener el celular siempre actualizado.
- Usar un software de protección del dispositivo.
En el caso de que hayas hecho click en el enlace y se haya descargado un fichero, Calvo aconseja no ejecutarlo, eliminarlo de inmediato, descargar un antivirus y realizar un análisis del dispositivo.
"Si se detectan comportamientos extraños en el teléfono (o lo hemos ejecutado), se debería restaurar el celular de fábrica y cambiar las contraseñas de todos los servicios a los que se haya accedido o que se tuviera la cuenta iniciada en el teléfono móvil", indica. Además, debemos avisar a familiares y amigos, al banco y, si corresponde, denunciarlo.
Factchequeado es un medio de verificación que construye una comunidad hispanohablante para contrarrestar la desinformación en español en Estados Unidos. ¿Quieres ser parte? Súmate y verifica los contenidos que recibes enviándolos a nuestro WhatsApp +16468736087 o a factchequeado.com/whatsapp