En mi empresa preparamos este mensaje en diciembre con algunos tips sobre el tema:
Con la llegada de las primas, y más en época de navidad, es importante estar alerta de los mensajes y correos electrónicos fraudulentos que circulan. Generalmente, estos intentos de estafa buscan engañarnos para obtener información personal y financiera. Les mandamos algunos consejos prácticos para identificar y evitar caer en estas trampas. Léanlo hasta el final, que tiene buenos tips:
1. Mensajes de Bancos Desconocidos: Si se recibe un mensaje de un banco con el que no se tiene relación, lo mejor es ignorarlo. No hay nada que atender en un banco donde no se tiene una cuenta.
2. Errores en el mensaje: Los mensajes de entidades financieras legítimas nunca contienen errores de ortografía. Si se ven errores en el mensaje, así sea una tilde, se debe ignorar el mensaje.
3. Notificaciones inesperadas: Los bancos envían notificaciones como respuesta a acciones específicas realizadas por el cliente. Un mensaje que llega sin ninguna acción previa puede ser motivo de sospecha. Si hay dudas, es recomendable contactar directamente al banco. Por ejemplo: Si hice una compra usando mi tarjeta de Bancolombia, es normal que reciba un correo o un texto con una notificación. Lo mismo si inicié sesión en la sucursal virtual. Pero no es normal que me llegué un mensaje "de la nada" pidiéndome ingresar información.
4. Formato del teléfono desde el que llega el mensaje: Los avisos legítimos generalmente provienen de números cortos, y casi siempre empiezan en 8. Nunca esas notificaciones llegan desde líneas celulares comunes. Un mensaje proveniente de un número celular extenso es una señal de alarma. Ojo: si el mensaje llega desde un número corto, tampoco es garantía.
5. Análisis Detallado de los links: El punto más importante es saber detectar links maliciosos. No es fácil, pero aquí van algunos tips:
La estructura estándar de un link es Es útil leer el link de derecha a izquierda, identificando las partes separadas por puntos, empezando por el TLD. Los TLD comunes son .com, .org, .net, o con indicativos de país como .co.uk o .com.co. Si el TLD parece inusual, es una señal de alerta. Siguiendo hacia la izquierda, es clave ver la combinación de dominio y TLD. Por ejemplo, “bancolombia-sucursal.org” o “bancolombia-com.co” son dominios falsos así tengan el nombre del banco. Ojo: la clave es separar el link por puntos y no por otros caracteres. Nunca sobra verificar el dominio real buscando la página oficial de la entidad en Google.
Un dominio legítimo es generalmente simple, como bancolombia.com.co. Pero hay que tener cuidado con URLs engañosas como Al leer de derecha a izquierda, se ve que “validarinformacion.top” es el dominio. Ese es un dominio que no está afiliado con ninguna entidad bancaria oficial. La parte “scotiabankcolpatria” es un subdominio que puede ser creado por el dueño de validarinformacion.top. Para verlo de otra manera: No importa que en el subdominio aparezca el nombre de la entidad, porque los subdominios son potestad del dueño del dominio. Eso quiere decir que si alguien compra un sitio como “alertas-banco.com”, puede crear tantos subdominios como quiera, por ejemplo “bancolombia.alertas-banco.com” o “bbva.alertas-banco.com”. Por eso, siempre se debe validar el dominio y no el subdominio.
6. Si lo que está llegando es un correo electrónico, también es supremamente importante validar el dominio de la persona que envía el correo. En un correo, los links pueden verse como simples textos azules o botones, entonces es difícil saber si son maliciosos o no. La ventaja es que el tip del punto anterior también sirve para correos electrónicos. Un correo siempre tiene el formato nombredeusuario@subdominio.dominio.tld entonces si se lee el dominio de quién envía el correo, se puede asegurar de que el emisor sea legítimo.
7. Verificación Ante la Duda: En caso de incertidumbre, es preferible contactar a la entidad que supuestamente envía la notificación antes de abrir cualquier enlace.
Si todavía quedan dudas de cómo funciona el tema de dominios y subdominios, dejamos una analogía:
Imagínense que el link es como el letrero de una tienda en un centro comercial. Por ejemplo, en el link , la parte “validarinformacion.top” (el dominio) es como el centro comercial, y scotiabankcolpatria (el subdominio) es como si fuera el letrero de la tienda dentro del centro comercial. Incluso si el letrero tiene un nombre de banco conocido, eso no significa que la tienda dentro del centro comercial sea realmente parte de ese banco. Cualquiera que alquile un local en ese centro comercial puede poner el nombre que quiera en su letrero.
Si ustedes no reconocen el dominio (en la analogía el centro comercial, validarinformacion.top), no importa qué tan legítimo parezca el subdominio (en la analogía, el letrero de la tienda scotiabankcolpatria). Ante la duda siempre es mejor hacer doble chequeo
