Phishing

Cómo impedir ser Víctima del Pishing

¿Qué es el Pishing?

“Phishing” es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de tales datos. El medio más utilizado actualmente por los atacantes para realizar una acometida de “phishing” es el correo electrónico. Sus mensajes suelen ser muy convincentes, ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario con la cual éste opera habitualmente, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de Internet. En el mensaje se alegan motivos diversos, como problemas técnicos, actualización o revisión de los datos de una cuenta. A continuación, para –supuestamente- verificar o modificar sus datos personales, se le solicita que ingrese a un determinado sitio web: su nombre completo, DNI, claves de acceso, etc. Dicha página web es, en realidad, un sitio falsificado que simula ser el de la entidad en cuestión, pero como su diseño suele ser muy similar al de la organización de cuya identidad se han apropiado - a veces resulta prácticamente idéntico-, el usuario no puede percatarse del engaño.

En otros casos, la artimaña se basa en el parecido entre las direcciones web del sitio auténtico y el apócrifo. En muchas ocasiones incluso, el texto del enlace escrito en el correo electrónico se corresponde con la dirección real del sitio web y si el usuario hace clic en dicho enlace, se lo redirige a una página falsa, controlada por los atacantes. Se han detectado también otros casos en los que el usuario recibe un mensaje SMS en su teléfono celular o una comunicación en su contestador automático y hasta una llamada telefónica. Mediante técnicas muy similares a las anteriormente descritas, se intenta convencerlo para que llame a determinado número telefónico. Al hacerlo, un sistema automatizado, fraguando ser la organización confiable, le solicita sus datos personales, los que luego serán utilizados sin su autorización, con las previsibles graves consecuencias.

Medidas para evitar ser víctima

  1. Si recibes un correo electrónico que te pide información personal o financiera, no respondas. Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo haga. Debe saber que las organizaciones que trabajan seriamente ya están al tanto de este tipo de fraude y por consiguiente, no solicitan información por este medio. Tampoco contactan telefónicamente, ni a través de mensajes SMS o de fax. Al mismo tiempo, si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo o que lo ha contactado, comuníquese directamente con ella, recurriendo al número telefónico conocido y provisto por la entidad a través de medios confiables, como por ejemplo, su último resumen de cuenta. Otra alternativa consiste en entrar a la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.
  2. No envíe información personal usando mensajes de correo electrónico. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.
  3. No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso, destinados a capturar sus datos personales. En caso de utilizar dicho ambiente, la mayoría de las instituciones bancarias brindan la posibilidad de utilizar un teclado sobre la pantalla. ¡utilícelo!
  4. Verifique los indicadores de seguridad del sitio web en el cual ingresará información personal. Si resulta indispensable realizar un trámite o proveer información personal a una organización a través del sitio de Internet, escriba entonces la dirección web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al hacerlo, deberá notar que la dirección web comienza con https://, donde la s indica que la transmisión de información es segura. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Al hacer clic sobre este último, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio al que está accediendo.
  5. Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
Image placeholder

Alfanet

HackingNews