¿Qué es el ‘Phishing’?

PhishingEn los medios se escucha con cierta frecuencia eso de ‘hay una nueva campaña de phishing, y seguimos a lo nuestro porque ese palabro tan raro seguro que trata sobre algo que no nos afecta, pero hay que tener cuidado, porque en cualquier descuido podemos caer en una de estas campañas.

¿Qué es el ‘phishing’?

Podemos decir que el phishing es un tipo de engaño o estafa que tiene el objetivo de intentar obtener del usuario sus datos, claves, números de cuentas bancarias, números de tarjeta de crédito, identidades, etc., para luego ser usados de forma fraudulenta, y en el que se hace uso de ingeniería social.

¿En qué consiste el ‘phising’?

Consiste en realizar una suplantación de identidad de una empresa o entidad pública, haciendo creer a la posible víctima que la comunicación procede del sitio oficial de esta empresa o entidad. Para engañar al usuario, se suele duplicar el sitio web de la empresa o entidad a la que se pretende suplantar, de manera que al visitar dicho sitio web, aparentemente se está en el sitio original, pues tiene el mismo aspecto.

¿Cómo realizan el ‘phishing’?

Lo más habitual es enviar algún mensaje en nombre de la empresa o entidad a la que se está intentando suplantar (entidades bancarias, principalmente), y notificar algún tipo de incidencia por la cual ‘hace falta que el usuario introduzca de nuevo ciertos datos’. Las vías más habituales para enviar estos mensajes son:

  • Correo electrónico.
  • SMS.
  • Sistemas de mensajería instantánea (Whatsapp, Telegram, etc.). Suelen llegar mensajes con enlaces (en muchos casos, enlaces acortados que no sabemos dónde nos llevarán)
  • Llamadas telefónicas (en muchos casos, desde números ‘ocultos’ o ‘desconocidos’). Se identifican como personal de la empresa o entidad a la que pretenden suplantar y, mediante ingeniería social, intentan sacarnos la información.

Hay que hacer hincapié en que ninguna empresa o entidad va a pedir NUNCA datos como contraseñas, números de cuentas, etc., a sus usuarios.

 

¿Qué tipo de información se roba?

El objetivo de este tipo de campañas suele ser:

  • Datos personales: direcciones de correo, números de documento de identidad, datos de localización y contacto.
  • Información financiera: Números de tarjetas de débito/crédito, números de cuentas corrientes, información de banca electrónica o comercios online (e-commerce).
  • Credenciales de acceso: Perfiles en redes sociales y cuentas de correo.

 

¿Cómo identificamos un caso de ‘phishing’?

Cuando nos llega un correo en el que se nos solicita que visitemos alguna web para rellenar datos, es importante revisar de qué dirección de correo viene, pero tras hacer esto también conviene revisar que la URL (dirección) a la que se nos pide que visitemos pertenece a la supuesta empresa o entidad que nos está solicitando los datos, pues en la mayoría de los casos, la simple revisión de esta dirección ya es suficiente para detectar el caso de ‘phishing’.

Imaginemos que el correo lo recibimos de un banco, que curiosamente resulta ser nuestro banco, el Banco de Prueba, cuya web oficial la podemos encontrar en https://www.bancodeprueba.es. Lo más normal es que el enlace que venga en el correo sea algo así como http://www.algunawebdesconocida.com/bancodeprueba.

  • De entrada, vemos que el dominio al que dirige el enlace (algunawebdesconocida.com) no tiene nada que ver con el oficial (bancodeprueba.es). Sí, han incluido un directorio que contiene el nombre de nuestro banco (/bancodeprueba), pero ninguna empresa ni entidad pública aloja sus webs en un dominio que no los identifique de forma unívoca (si lo hacen, mal van).
    • Puede suceder que el atacante haya usado un dominio que se parece al original (bancodeprueba2.com, por ejemplo), lo que nos hará un poco más complicado identificar si es phishing, pero hay que seguir la regla de que si ‘hay la más mínima duda’, no hay que visitar el enlace. Normalmente, las empresas suelen ‘operar’ bajo dominios .com o bajo dominios nacionales (.es en el caso de España). Si lo hacen bajo el dominio nacional, que sería lo preferible, automáticamente se aplica toda la legislación del país concreto, ya que cuando se hace bajo otros dominios, la normativa aplicable puede ser más confusa de entrada.
  • Otro dato importante es que, en el caso de entidades financieras, lo más normal es que ofrezcan sus webs a través de conexiones cifradas, lo que se identifica por el prefijo https:// en la URL. Vemos que en el ejemplo, el enlace comienza por http://, lo que significa que la conexión no va cifrada.
    • En el hipotético caso de que también utilizase el atacante conexiones cifradas (usase el prefijo https:// en la URL), se podría identificar si es phishing porque para usar conexiones seguras, los servidores deben usar un certificado digital que identifique la empresa o entidad a la que pertenece el sitio web, y la información de dicho certificado puede revisarse a través del navegador. En los casos en los que usan un certificado digital los atacantes, suelen ser certificados autofirmados por los propios atacantes, por lo que son fácilmente identificables. Este tema de las conexiones cifradas y de los certificados digitales lo veremos en una próxima entrada.

En muchos casos, el fraude se detecta por la forma en la que están escritos los correos, ya que se detecta fácilmente que son ‘malas traducciones’ a nuestro idioma, con muchas faltas de ortografía, un texto ‘como muy automático’, y con pocos signos de puntuación, además de textos muy mal redactados.

 

¿Cómo protegernos del ‘phishing’?

Como bien se puede leer en la entrada correspondiente de InfoSpyware:

  • La regla de oro: nunca entregues tus datos por correo electrónico. Las empresas y bancos jamás te solicitarán tus datos financieros o de tus tarjetas de crédito por correo.
  • Si dudas de la veracidad del correo electrónico, jamás hagas clic en un link/enlace incluido en el mismo.
  • Si aún deseas entrar, no hagas clic en el enlace. Escribe la dirección manualmente en la barra del navegador.
  • Si aún dudas de su veracidad, llama o visita a tu banco y verifica los hechos.
  • Si recibes un email de este tipo de phishing, ignóralo y jamás lo respondas.
  • Comprueba que la página web en la que has entrado es una dirección segura. Ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.
  • Cerciórate siempre de escribir correctamente la dirección del sitio web que deseas visitar ya que existen cientos de intentos de engaños de las páginas más populares con sólo una o dos letras de diferencia.
  • Si sospechas que fuiste víctima de phishing, cambia inmediatamente todas tus contraseñas y ponte en contacto con la empresa o entidad financiera para informarles.

Fuentes:

Share and Enjoy:
  • Print
  • Digg
  • StumbleUpon
  • del.icio.us
  • Facebook
  • Yahoo! Buzz
  • Twitter
  • Google Bookmarks