¿Qué es el Phishing?

Se define Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando correo SPAM e invitando a acceder a la página señuelo. El objetvo del engaño es adquirir información confidencial del usuario como contraseñas, números de tarjetas de crédito o datos financieros y bancarios.

El Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, quedará en manos del estafador. Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario. Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:

Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.
Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

Direcciones web con la apariencia correcta. Como hemos dicho, el correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez que se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad.

Recomendaciones

Las recomendaciones para evitar este tipo de estafa son las siguientes:

  • Evite el SPAM ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo.
    Tome por regla general rechazar adjuntos y analizarlos aún cuando vengan de personas conocidas o se esté esperando recibirlos.
  • Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente probando ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).
  • Sepa que una entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignórelo y/o elimínelo, si puede informe sobre esta irregularidad a la empresa de que se trate.
  • Otra forma de saber si realmente se está ingresando al sitio original, es observando que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura.
  • Es una buena costumbre verificar el certificado digital al que se accede haciendo doble clic sobre el candado de la barra de estado enla parte inferior de su explorador (actualmente algunos navegadores también pueden mostrarlo en la barra de navegación superior).
  • No responder solicitudes de información que lleguen por e-mail. Cuando las empresas reales necesitan contactarnos tienen otras formas de hacerlo, de las cuales jamás será parte el correo electrónico debido a sus problemas inherentes de seguridad.
  • Si tiene dudas sobre la legitimidad de un correo, llame por teléfono a la compañía a un número que conozca de antemano… nunca llame a los números que vienen en los mensajes recibidos.
  • El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.
    Es recomendable hacerse el hábito de examinar los cargos que se hacen a sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
  • Use antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
  • También es importante, que si usted conoce algún tipo de amenaza como las citadas, las denuncie a la unidad de delitos informáticos del área donde vive (si sabe de su existencia).

Si Ud. ha recibido este tipo de mensajes sólo ignórelos y enseñe a quien considere adecuado las sencillas formas de prevención citadas.