EL PHISHING
La palabra phishing proviene del vocablo inglés “fishing”, refiriéndose a utilizar un cebo y esperar a que las víctimas “muerdan el anzuelo”.
Este término es meramente informático y consiste en el envió de correos electrónicos con apariencia de fuentes de confianza, principalmente de bancos, servicios de confianza, oficinas de gobierno, compañías de seguros, personas, empresas, etc., con el propósito de manipular, engañar y hacer que se realicen acciones tendientes a revelar información confidencial como contraseñas y números de tarjetas de crédito, cuyo único objetivo es robar información, instalar malware en sus equipos de cómputo, sabotear sistemas, o robar dinero a través de fraudes.
Regularmente el método utilizado en esta suplantación de identidad consiste en que el “phisher” (quien practica el phishing) envía un mensaje electrónico o mensaje de texto imitando a una persona de confianza principalmente, un banco u oficina gubernamental con el propósito de asustarle o influirle miedo; en dicho mensaje se exige a la víctima ir a su sitio web y actuar inmediatamente para evitarse consecuencias futuras.
Una vez que el usuario pica el anzuelo, se le envía a un sitio web falso del sitio legítimo; hecho esto, se le pide registre credenciales, identificaciones de usuario, contraseñas y demás datos identificatorios que hacen fácil el trabajo al phisher para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.
De acuerdo con Adam Kujawa Director de Malwarebytes Labs, el phishing es la forma más sencilla peligrosa y efectiva de ciberataque, debido a que se ataca al ordenador más vulnerable y potente que es la mente humana, ya que regularmente las personas víctimas de estos ataques no comprueban la procedencia de los correos y mensajes electrónicos recibidos.
El mismo Adam Kujawa propone algunas recomendaciones para mantenernos a salvo de estos ataques:
? No abrir correos electrónicos que no les sean familiares.
? No haga clic en un enlace dentro de un correo electrónico a menos que sepa a dónde le lleva.
? Si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
? Busque el certificado digital del sitio web.
? Si se le pide que proporcione información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantia de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
? Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
? Pase el cursor del ratón por encima del enlace para ver si es legítimo.
Algunas señales más de un intento de phishing:
? El correo electrónico hace una oferta que parece demasiado buena para ser verdad.
? Reconoce al remitente, pero es alguien con quién no trata.
? El mensaje suena aterrador.
? El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
En los Estados Unidos el Senador Patrick Leahy introdujo el 1 de marzo de 2005 la Ley Federal Anti-Phishing, la cual establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de correo electrónico con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.