EL PHISHING

INTRODUCCIÓN
Seguro que estos últimos meses lleva escuchando en los medios de comunicación varias veces la palabra “Phishing” y además relacionándolo la mayoría de la veces con la banca por Internet. Debido a la confusión que existe en algunos internautas noveles y a algún medio de comunicación, que puede llevar a confusión al internauta por el tratamiento de las noticias de forma alarmista, donde incluso se puede deducir que la banca online no es segura, dejando en entredicho la seguridad de las entidades bancarias. Por todo esto, vamos a explicar que es el Phishing y cómo protegerse del mismo.

¿QUÉ ES EL PHISHING?

El phishing es una técnica de captación ilícita de datos personales (principalmente relacionados con claves para el acceso a servicios bancarios y financieros) a través de correos electrónicos o páginas web que imitan/copian la imagen o apariencia de una entidad bancaria/financiera (o cualquier otro tipo de empresa de reconocido prestigio).

En términos más coloquiales, podemos entender el phishing como “pescando datos” o “pesca de datos”, al asimilar la fonética de la palabra “phishing” con el gerundio “fishing” (≈ pescando).

¿CÓMO FUNCIONA Y SE DISTRIBUYE?

El mecanismo más habitualmente empleado es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que replican en todo o en parte el aspecto y la funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial. Si el receptor del mensaje de correo efectivamente tiene esa relación con la empresa y confía en que el mensaje procede realmente de esta fuente, puede acabar introduciendo información sensible en un formulario falso ubicado en uno de esos sitios web.

En cuanto a su distribución, también presentan características comunes:

• De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajería instantánea:

• El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc.
• Se envía como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales.

• Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc.

• Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma.

• Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos.

CÓMO EVITARLO

Es importante que sigas las siguientes cinco recomendaciones básicas para protegerte.

1. No hagas clic a enlaces que vienen en correos electrónicos. Esta es la práctica más importante. Instituciones responsables nunca piden datos confidenciales por email. Si sientes que debes verificar alguna información, accede a la página web relacionada directamente, sin hacer clic a ningún enlace en el correo electrónico. Aun cuando la dirección web parezca auténtica, pudiera hacer un re-direccionamientos a páginas falsas.

1. Para visitar una página introduce la dirección en la barra de direcciones. Esto es para evitar los re-direccionamientos mencionados en la recomendación anterior. Teclea la dirección (o URL) en la barra de direcciones del navegador Internet, si realmente consideras necesario visitar la página web. Si el sitio solicita información personal, verifica que se está usando un canal seguro (la dirección web debe comenzar conhttps:// y debe aparecer un pequeño candado cerrado en la esquina inferior derecha de la pantalla del navegador o en la barra de direcciones). También pon atención a pequeños errores en nombres, letras faltantes, etc. en la dirección de la página web.

1. Disminuye la cantidad de correo no deseado que recibes. Los mensajes con intenciones de hacer phishing se distribuyen mediante correo electrónico, por lo cual toda acción que contribuya a disminuir el correo no deseado o spam que recibes, contribuye a reducir el riesgo. 

1. No proporciones información confidencial. Números de tarjetas de crédito, de seguridad social, direcciones, licencias de conducir, claves y números de acceso, son considerados información confidencial y las instituciones responsables nunca piden datos confidenciales por email o mediante un enlace enviado por email. Si es una página que solicita usuario y clave de acceso, refiérete a la recomendación 2.

1. Nunca envíes información confidencial por correo electrónico. El correo electrónico no es el medio más seguro para enviar información confidencial, no sólo por una posible intercepción, sino porque si alguien adquiere acceso a tu computadora, o a la de la persona a la que lo enviaste, dicha información queda expuesta. 

BIBLIOGRAFÍA

• http://seguridad.internautas.org/html/451.html
• http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=125
• http://www.seguridadpc.net/phishing.htm
• http://aprenderinternet.about.com/od/SeguridadPrivacidad/tp/Cinco-Consejos-Para-Evitar-Ser-Victima-De-Phishing.htm
• http://aprenderinternet.about.com/od/SeguridadPrivacidad/tp/Cinco-Consejos-Para-Evitar-Ser-Victima-De-Phishing.htm