"Hay una forma sencilla de identificar estafas con suplantaciones a la Administración Pública. Un organismo oficial en España no va a usar un dominio que no sea un .es"

El experto en ciberseguridad Hicham El Hafed ha explicado cómo deben ser los dominios de un correo de la administración pública española para ser considerados fiables, durante una entrevista con José Ángel Cuadrado en 'Lo que viene', el programa de tecnología de COPE. 

El Hafed subraya que la principal herramienta para el ciudadano es la prevención y la desconfianza ante comunicaciones sospechosas, especialmente las que suplantan a organismos oficiales.

La clave para no caer en la trampa del 'phishing' que suplanta a entidades públicas reside en el dominio del remitente. Según el experto, "un organismo oficial en España, que es donde estamos, no van a usar un dominio externo que no sea un punto es, y mucho menos que no sea un gov punto es o algo similar". Por tanto, cualquier correo electrónico que proceda de una dirección con terminaciones como '.com', '.net' o similares, debe ser tratado inmediatamente como una amenaza potencial.

Un organismo oficial en España no va a usar un dominio externo que no sea un .es"

Hicham El Hafed

Desarrollador digital

El caso de la Seguridad Social

El Hafed ha relatado un caso real que afectó a la Seguridad Social, cuyo sistema fue comprometido sin que se emitiera un comunicado oficial para alertar a los ciudadanos. Los atacantes utilizaron un dominio falso, 'TSSI-social.com', para enviar comunicaciones fraudulentas. Él mismo recibió una de estas notificaciones, que le informaba de que su tarjeta sanitaria europea estaba a punto de caducar, un hecho que le hizo sospechar de inmediato. "¿Desde cuándo la tarjeta seguro social caduca?", se preguntó.

El experto insiste en que la ingeniería social es la técnica más usada por los ciberdelincuentes para atacar tanto a empresas como a particulares y funcionarios. Por ello, es fundamental aplicar la lógica y el sentido común. "Nadie va a pedir dinero ni te va a dar dinero gratis, verifica el enlace", sentencia El Afed. Esta simple premisa puede evitar la mayoría de estafas que llegan a través de email o SMS.

Nadie va a pedir dinero ni te va a dar dinero gratis"

Hicham El Hafed

Experto en ciberseguridad

Estafas en el ámbito empresarial

En el ámbito empresarial, los ataques también explotan el factor humano. El Hafed ha expuesto el caso de una estafa de 25.000 euros en la compra de un tractor. 

Los delincuentes interceptaron la comunicación entre el proveedor y el comprador mediante un ataque 'man in the middle', modificando el número de cuenta para el pago en un correo electrónico. Para prevenirlo, recomienda que "antes de pagar a un proveedor, actualiza tu base de datos. Si ves que el IBAN ha cambiado con respecto a la anterior factura, desconfía".