20/02/2023
Algunos enlaces acortados enviados por correo electrónico y mensajes de texto SMS o publicados en redes sociales no permiten ver la dirección real de las páginas web a las que están redirigiendo.
Comenzaron a utilizarse hace años por el reducido número de caracteres que permitían algunas plataformas, por lo que a día de hoy existen diversos servicios online destinados a acortar las URL de manera gratuita, así como a personalizarlas con el nombre que se desee.
Los ciberdelincuentes aprovechan este tipo de servicios para crear enlaces que pueden parecer legítimos a primera vista pero que, realmente, redirigen a páginas web fraudulentas creadas por ellos mismos. No es posible conocer las direcciones web a las que apuntan esas URL pasando el cursor por encima del enlace, ya que al hacerlo solamente aparece el enlace acortado que se ha creado, no el sitio web al que finalmente va a acceder el usuario.
Algunos de los fraudes llevados a cabo por los ciberdelincuentes que hacen uso de esta técnica pueden ser:
- Ataques de ingeniería social. Introducen la url acortada en emails (phishing) y mensajes SMS (smishing) en los que se hacen pasar por organismos oficiales, compañías o entidades financieras e informan de supuestas alertas de seguridad, anomalías en la cuenta bancaria, devolución de importes, facturas pendientes, etc. Su objetivo es que los usuarios inicien sesión en la página web fraudulenta y/o introduzcan sus datos personales y bancarios en ella.
- Descarga de software malicioso. Los enlaces acortados incluidos en los correos y SMS enviados por los ciberdelincuentes también pueden redirigir a los usuarios a sitios web ilegítimos para que ejecuten o descarguen archivos, programas o vídeos infectados con malware.
Consejos para evitar acceder a páginas web fraudulentas
- Instalar un complemento en el navegador para conocer la dirección web real a la que conduce el enlace acortado para comprobar si contiene malware o si se trata de una página fraudulenta de tipo phishing. La Oficina de Seguridad del Internauta (OSI) recomienda en su página web algunos de estos complementos, tanto para Chrome como para Firefox.
- Utilizar un analizador de URL para ver el enlace original, detectar si la página web está infectada con malware y obtener un resumen de la información que contiene la página. La Oficina de Seguridad del Internauta recomienda utilizar VirusTotal y URL Void, dos analizadores gratuitos.
- Por regla general, evitar proporcionar información personal o bancaria en páginas web a las que se ha accedido desde un enlace acortado incluido en un email o SMS. Siempre es preferible hacerlo tecleando la dirección web en el navegador.
Además de aplicar estos consejos, se deben implementar otras buenas prácticas para navegar seguros en internet y proteger la información digital personal y privada:
- Instalar un antimalware y un antivirus en todos los dispositivos y realizar análisis periódicos.
- Descargar las aplicaciones desde los mercados oficiales, observar que tengan una valoración positiva y concederles solo los permisos necesarios.
- Mantener siempre actualizados el navegador, las aplicaciones y el sistema operativo.
- Crear contraseñas robustas y activar el doble factor de autenticación en los servicios que lo permitan para añadir una capa extra de seguridad.
- Recordar que BBVA nunca va a solicitar información confidencial a través de mensajes SMS o correos electrónicos y que los SMS que BBVA envía no contienen enlaces.