Phishing

El phishing es la actividad de atraer al usuario hacia un delito de fraude informático, a través de la colocación de un "anzuelo" para atraer su atención y/o información. El objetivo del delito es robar información personal y/o financiera del usuario.

La amenaza consiste en utilizar técnicas de Ingeniería Social para lograr que el usuario otorgue su información. El atacante, simula la identidad de alguna entidad conocida y de confianza por el usuario. Las vías de este ataque pueden ser un correo electrónico, un mensaje de texto o un llamado telefónico, entre otros.

El atacante intenta duplicar la identidad simulada de la forma más realista posible, y cercana a la realidad para hacer más creíble el engaño y lograr que mayor cantidad de usuarios caigan en la trampa.

Ejemplo

En este caso, se presentan los pasos de un ataque vía correo electrónico. Utilizando otros medios, el ataque no difiere mucho del aquí presentado.

El ataque comienza, cuando el recibimos un correo electrónico de una entidad reconocida (un banco, una prestadora, etc.). El correo nos invita a hacer clic en un enlace que nos lleva a un sitio web que, aparenta ser el original, pero no lo es. Este sitio es una imitiación realizada por el delincuente, logrando así que el usuario ingrese la información personal creyendo que la está otorgando a alguien de confianza.

En la siguiente imágen se observa un sitio web con el aspecto del servicio Adwords de Google, pero se puede observar en la barra de direcciones que en realidad se trata de un servidor Chino (.cn) ajeno a Google:

Phishing de Adwords

Si ingresamos los datos solicitados, el delincuente los obtendrá para realizar algún tipo acto delictivo con ellos, y podemos resultar grávemente dañados.

¿Cómo protegerse?

Las características que pueden permitirnos determinar identificar si un mensaje es phishing son:

  • El mensaje parece provenir de una entidad reconocida.
  • El correo contiene logos y firmas que parecen los reales, para dar más credibilidad al mismo. Recuerda que copiar una imagen en Internet es muy sencillo.
  • El mensaje invita a ingresar (o re-ingresar) algún tipo de información personal que supuestamente la entidad ya debería conocer.
  • El mensaje, por lo general, incluye un enlace u otro dato de referencia (como un teléfono). Esta puede ser un sitio web donde ingresar, un número telefónico donde llamar o una dirección donde enviar una carta.

Una vez que hemos "mordido el anzuelo" y creyendo estar otorgando la información a alguien de confianza, entregaremos información confidencial al delincuente, el cual podrá utilizarla para realizar un robo, una estafa o un fraude.

Para evitar ser víctima de esta amenaza, debemos tener en cuenta:

  • Chequea la identidad al recibir un mensaje que solicite información personal.
  • No entregues información personal y/o financiera en ningún tipo de sitio web o por teléfono sin previamente verificar fehacientemente con quien nos comunicamos.
  • No entregues información personal a una entidad, si ya la has entregado anteriormente.
  • Ante la duda, verifica el contenido del mensaje, por ejemplo, consultado telefónicamente (a un número conocido previamente) a la entidad o chequeando en su sitio web alguna referencia al contenido del correo.
  • Recuerda que las entidades serias y de confianza nunca solicitan este tipo de información por correo, por teléfono o por fax. Por lo tanto, por más que el llamado o correo parezcan verdaderos, no entregues información sensible.

En el caso particular del correo electrónico:

  • No sigas los enlaces de los correos electrónicos. En todo caso, ante la duda, tipea la dirección web en el navegador web.
  • No leas ni prestes atención a los mensajes de spam. En este tipo de mensajes es donde se distribuye principalmente esta amenaza. Sólo elimina el correo sin realizar otra acción.
  • Nuevamente recuerda que las organizaciones seria, nunca piden información confidencial por estos medios ya que son considerados inseguros.

Se puede encontrar más información en la Cruzada de Segu-Info