Skip to main content

La delincuencia es tan vieja como el hombre. La ciberdelincuencia tanto como internet. Y cada año que pasa, evoluciona, y se vuelve mucho más complicada de frenar y de reconocer. En los últimos años, ha habido una clara tendencia en alza del phishing, una técnica de fraude que se adapta a cada tiempo y que, cuando te has querido dar cuenta del engaño, ya no hay marcha atrás. Y es algo que también está afectando al negocio musical. En esta guía te contamos qué es el phishing, como reconocerlo y, sobre todo, como evitarlo poniendo por ejemplo el caso concreto de la industria musical.

Esta técnica tiene muchas caras y el ciberdelincuente ataca de manera muy versátil y a distintos objetivos. Existe el conocido caso de «El Fraude del CEO» que es que el hacker «ataca» a un empleado de alto rango, con capacidad de realizar pagos en representación de la empresa, mandándole un correo haciéndose pasar por el CEO de la compañía pidiendo datos urgentes para realizar una operación.

También puede venir este correo desde una cuenta externa de una entidad que creemos segura o directamente de un proveedor que nos pide una factura. Por eso es vital, identificar los correos y seguir unas pautas que en este artículo desarrollamos.

Aprovecha las deducciones fiscales culturales

¿Qué es el phishing?

El phishing es una técnica delictiva que consiste en el envío de un correo electrónico suplantando la identidad de entidades bancaria, redes sociales, entidades públicas, empresas reconocidas o un servicio que utilicemos, y cuyo objetivo es obtener toda la información personal y bancaria que puedan conseguir de nosotros (como usuarios y contraseñas, direcciones, datos de tarjetas de crédito, etc) y/o realizar un cargo económico o infectar con un virus el dispositivoen el que abramos el archivo. Para ello, adjuntan ficheros infectados o enlaces a páginas fraudulentas.

En nuestro caso particular, el de negocio musical, lo que está ocurriendo recientemente es que el ciberdelincuente está haciéndose pasar por un proveedor o una empresa con la que estemos trabajando. Suplantando su identidad y haciéndonos creer que estamos hablando con el proveedor para conseguir, además de nuestra información personal y de la empresa, que le paguemos una factura falsa.

El ciberdelincuente se sirve de todas las técnicas y artimañas posibles para ganarse la confianza del usuario y para hacer ver al receptor que está ante un mensaje seguro o de un emisor que conocemos. También puede ocurrir lo contrario, y es que desde un emisor que parece que es seguro, ya que suplantan identidades (normalmente con correos donde solo se cambia una letra) de entornos conocidos, nos mandan un mensaje que puede causar alerta o amenaza y ante eso buscan que el usuario reacciona rápido e instintivamente sin revisar toda la información.

Esto se conoce como ingeniería social y es una de las técnicas más comunes en el phishing.

¿Cómo se produce el phishing en internet? ¿Cómo es el phishing en la industria musical?

Vamos a incidir en el caso que nos atañe dentro del marco de la industria musical. El ejemplo es el siguiente: un promotor recibe un correo electrónico de, a priori, un emisor de confianza que suele ser un proveedor y este le emite la factura de un servicio que se ha realizado. Hasta aquí todo normal. El promotor paga la factura y parece que está todo correcto… hasta que el proveedor días después le reclama el pago. Este es el emisor real y, aquí, es cuando el castillo de naipes se cae, el promotor se da cuenta de que algo no hay ido bien y ya es demasiado tarde porque el dinero ya está fuera de España. Ha sido víctima de una ciber estafa.

Aunque parezca sorprendente los hackers son capaces de interceptar un correo, cambiar los datos de la cuenta bancaria que aparece en la factura mandada por email con el fin de que usted realice la transferencia a otro número de cuenta diferente. La técnica de intercepción de las comunicaciones en los correos electrónicos es conocida como «MitM – Man in the Middle» («Hombre en Medio» de la comunicación) es decir, el hacker se sitúa en medio de la comunicación entre las dos personas que están cruzando conversaciones por email.

Pero, claro, ¿cómo pueden acceder al correo real del emisor y, cuando este mande la factura, cambiarle el IBAN para variar el destinatario de la transferencia? Para ello, los hackers deben tener acceso al servidor de correo.

Para tener acceso utilizan la técnica de phishing a los servidores y hosting de páginas web. Un correo electrónico fraudulento nos avisa de qué debemos cambiar las claves por seguridad de nuestro servidor. Este correo suele ser mandado desde un email de confianza, pero normalmente suele tener un cambio ortográfico ligero y poco notorio en la dirección. Al acceder y cambiar las credenciales en el portal falso, los hackers tienen acceso completo a todos los correos de la empresa y a información crucial.

Un ejemplo concreto sería un correo falso de Instagram o de Google pidiéndonos cambiar la contraseña por un problema de seguridad. Si el correo fuera real recibiremos un email por ejemplo de info@google.com o info@instagram.com pero estos ciberdelicuentes se aprovechan de la generación de alarma que supone un posible robo de tu cuenta para mandarlo desde un correo que se parece, pero no es el mismo: por ejemplo info@goggle.com o info@intagram.com. Con el simple cambio de una letra y por la generación de amenaza producida por el correo mandado, el delincuente atrae al usuario a una landing donde este cambia su contraseña en una página falsa y estos datos son recogidos por el hacker en una base de datos.

¿Cómo reconocer si un correo electrónico contiene un virus o es un phishing?

Existen varias maneras de identificar un correo electrónico fraudulento que pasamos a detallar a continuación, pero la primordial es siempre tomarse un tiempo para analizar un correo y no tomar decisiones precipitadas en asuntos tan importantes como facturas o en dar información personal o claves. Además de no abrir archivos adjuntos que no estemos seguros de qué son de fiar. Las técnicas para identificar estos correos son:

  • Comprobar la ortografía y la redacción. Muchos de los correos de phishing contienen errores ortográficos y de redacción que no son propios de entidades debido al uso de traductores automatizados.
  • Verificar que la cuenta es original. Debemos comprobar que el email coincide con la empresa que nos envía el correo. Generalmente utilizan dominios públicos que se parecen al que sería el correo oficial. A veces el cambio de dirección es ínfimo, por ejemplo, el dominio puede ser google.com y el email fraudulento es gooogle.com
  • Revisar la URL: Los enlaces externos del correo deben ser comprobados. Antes de hacer clic, podemos colocar el cursor del ratón para ver la URL a la que nos redirige y comprobar si es un site seguro.
  • No descargar archivos adjuntos: Si no estás seguro, o no has comprobado que es real, bajo ningún concepto descargar archivos adjuntos y abrirlos en tu pc.

Cómo evitar una estafa por phishing en internet

Si crees que has sido posible víctima de un ciberataque así, cambia las contraseñas de todas las cuentas, borra cualquier archivo que te genere dudas, pasa un antivirus y activa la doble verificación para evitar la suplantación.

Otra forma para evitar cualquier duda, o simplemente para añadir más seguridad en el proceso de pago, que llevamos trabajando en Sympathy for the Lawyer varios años y recomendamos es, que, en facturas importantes, siempre confirmar el número de cuenta por teléfono antes de pagar.

Cómo denunciar cuando se ha sido víctima de un caso phishing en internet

Antes de nada, si has sido víctima de este acto delictivo y ha habido un pago, llama a tu banco por si estás a tiempo de parar y cancelar la transferencia.

Si no has podido hacerlo antes, y el dinero ya está fuera debes recurrir siempre a denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado dentro de la Oficina de Seguridad del Internauta.

Borja Martin

Marketing & PR en SFTL

La Newsletter #1 del negocio de la música

Cada semana te traemos las noticias clave, consejos e ideas sobre la industria.

Con enfoque ultrapráctico y sin venderte humo. Para mantenerte al día en lo que tardas en tomarte un café.

    Sobre Sympathy for the Lawyer

    Dejar un comentario