user_mobilelogo
  • ViveInternet_Banner.jpg
    https://www.viveinternet.es/images/headers/ViveInternet_Banner.jpg
  • 017_header_ojito_con_la_red.jpg
    https://www.viveinternet.es/images/headers/017_header_ojito_con_la_red.jpg
  • 028_header_OCTSI.jpg
    https://www.viveinternet.es/images/headers/028_header_OCTSI.jpg
  • Plantilla-Entrate.jpg
    https://www.viveinternet.es/images/headers/Plantilla-Entrate.jpg
  • TIC-izate.jpg
    https://www.viveinternet.es/images/headers/TIC-izate.jpg
  • Protegete.jpg
    https://www.viveinternet.es/images/headers/Protegete.jpg
  • Copy-of-ViveInternet-.jpg
    https://www.viveinternet.es/images/headers/Copy-of-ViveInternet-.jpg

phishing

El phishing consiste en el conjunto de técnicas que practican los ciberdelincuentes para el robo de tu identidad online. Se suelen hacer pasar por terceros de confianza, como tu banco o la Adminsitación, para pedirte contraseñas, datos de tarjetas, DNI, etc. Conócelo y protégete.

Orígenes del Phising

El término "phishing", como casi todo en Internet, tiene su origen en el idioma inglés. Como sabes, fishing significa pescar. En la Web se lanza un anzuelo al mar de internatuas hasta que alguien pique, lo que viene a ser una somera descripción de las técnicas empleadas en este ciberdelito. Si a esto añadimos que en las zonas un poco más oscuras de la Web hace tiempo que se optó por representar la "f" como "ph" (en inglés suenan igual), tenemos el término "phishing" y, para designar a quien lo practica, el término "phisher". Otra teoría apunta a que el término es la combinación de la expresión 'password harvesting fishing' (obtención de contraseñas mediante pesca), de la que se toman las iniciales de las dos primeras palabras para construir el término.

Los primeros casos de phishing ocurrieron a mediados de la década de los 90, cuando Internet, tal como la conocemos hoy, daba sus primeros pasos en forma de webs, servicios FTP y correo electrónico. Por aquellos tiempos, el proveedor de servicios Internet dominante era America OnLine (AOL). Algunos internatuas ajenos a esa red, intentaban hacerse con los credenciales de acceso de los usuarios de AOL, para poder usar sus servicios, al alcance de pocos ciudadanos. En respuesta a este tipo de delitos, AOL tomó medidas de seguridad, lo que obligó a los ciberdelincuentes a enmascar sus actuaciones haciéndose pasar por personal del propio servicio AOL y pidiendo, en su nombre, datos sensibles como contraseñas, información de facturación y pagos, etc.

AOL optó por añadir tanto en su web, como al pie de todas sus comunicaciones electrónicas o no con sus usuarios la frase "No one working at AOL will ask for your password or billing information", lo que significa que "nadie que trabaje en AOL te pedirá tu contraseña o datos de facturación". Este tipo de medidas se mantienen vigentes aún hoy. Habrás observado que muchos bancos incorporan informaciones similares a esta en sus páginas.

¿A qué me expongo?

Si eres víctima de phishing, los ciberdelicuentes, si han tenido éxito, se podrán haber hecho con datos de acceso tuyos a banca electrónica, tu número de DNI o de la Seguridad Social, contraseñas de acceso a ciertos servicios tuyos en la Nube, como correo electrónico, dropbox o redes sociales, entre otros. Los preferidos por los ciberdelincuentes son, como es lógico, aquellos datos que uses para acceder a tu banco o algún servicio de pago electrónico como PayPal además de sitios de comercio electrónico.

Si de tu correo electrónico se trata, podrán usar tu cuenta para el envío de spam, por ejemplo. Si se trata de tus datos de acceso al banco o a un servicio de pago electrónico, las consecuencias pueden ser mucho peores, como te puedes imaginar.

¿Cómo actúan los phishers?

El método preferido es el correo electrónico. Haciéndose pasar por entidades como un banco, la policía, algún organismo público u otro servicio popular en la web, envían correos electrónicos indiscriminadamente con textos en los que dicen requerir que verifiques tus datos para mejorar la seguridad del servicio. Este tipo de correos aparentan tener la imagen del servicio por el que se están haciendo pasar y, en la mayoría de los casos, vienen acompañados de un enlace en el que debes hacer click para acceder a una página, también falsa, pero disfrazada de aquélla a la que intenta suplantar, donde deberás introducir tus datos.

En muchos casos los correos no tendrán nada que ver contigo, por lo que aquí tienes la primera señal que te invita a sospechar. Los phishers envían un mail masivo tipo spam a la espera de pescar a alguien.

Aunque menos habitual, los phishers pueden también utilizar programas de mensajería instantánea como WhatsApp, mensajes SMS ('smishing'),  el teléfono e, incluso, en un tipo de variante más compleja, la lectura de las pulsaciones del teclado, habiendo previamente instalado un tipo de malware en el ordenador de la víctima.

Evoluciones más elaboradas del phishing incluyen el envío de mails selectivamente, esto es, a usuarios que se sabe que usan el servicio al que se suplanta, por lo que resultará más fácil hacer morder el anzuelo a la víctima. Se trata de una variante del phishing, llamada 'spear phishing'. Para ello se ha averiguado antes quiénes son los usuarios que navegan por un determinado banco o tienen cuentas de acceso en éste o en un servicio de pago electrónico o cualquier otro recurso en la Nube.

¿Cómo puedo protegerme del Phishing?

Analiza la web de tu banco y servicios de negocio electrónico. Siempre incluirán algún aviso en relación a su política de gestión de datos confidenciales o advertencias al respecto. Estos avisos suelen encontrarse en la sección desde la cual vamos a introducir nuestros datos de acceso. Aquí tienes dos ejemplos:

CajaSiete: "Nunca le solicitaremos sus claves personales y confidenciales por teléfono, correo electrónico o fax, ni le pediremos que realice ninguna prueba de operaciones de ruralvía."

Santander: "Nunca debe atender solicitudes de datos o claves de acceso y firma que le lleguen a través de correo electrónico, SMS o llamada telefónica y, en especial, no facilite nunca todas sus posiciones de firma electrónica"

Desconfía siempre de los correos que te envía tu banco. Los correos electrónicos falsos pueden venir perfectamente enmascarados, imitando muy bien a los enviados por la entidad verdadera. Ten en cuenta que lo normal es que, para temas que tengan que ver con tus datos de acceso u otros confidenciales, el banco se dirija a ti por carta.

No abras archivos adjuntos o cliques en enlaces de correos de tu banco u otro. Aparte de que los bancos rara vez usarán el correo electrónico para ponerse en contacto contigo para comunicaciones no solicitadas, mucho menos lo harán acompañando el correo de un enlace o de un documento adjunto. Si aún así dudas, ponte en contacto por teléfono con tu banco.

No hagas caso de los mensajes alarmantes en relación a tu cuenta en un servicio de Internet que versen en torno a la cancelación de tu usuario u otra medida inminente de cierto calado que afecte a tu servicio. En estos casos, ponte en contacto con tu servicio para informar de que has recibido un correo y asegurarte de que no hay ningún problema.

Presta atención a textos como "verifique su cuenta" o "intento inserperado de acceso a su cuenta". Detrás de éstos suele haber un intento de phishing.

No respondas nunca a un correo de estas características.

Echa un vistazo periódicamente a los movimientos en tus cuentas bancarias.

Ojo. No sólo va de bancos el tema. Como indicamos antes, debes tener en cuenta que también podrías recibir falsos correos de Google, Facebook, eBay, Amazon, PayPal o cualquier otro servicio de gran popularidad en Internet. Recientemente escribimos sobre una campaña de phishing, en su variante smishing, en la que un falso Google se ponía en contacto con usuarios vía SMS para obterner datos de acceso.

No reveles nunca información sensible en las redes sociales. En este tipo de webs se reúne todo tipo de usuarios. Si eres de las personas que las usan con frecuencia, limítate a lo imprescindible.

Ten siempre un programa antivirus instalado y actualizado. Realiza análisis periódicos de tu ordenador, adicionales a los programados. Existen recursos para phishing que se instalan en tu ordenador y que pueden ser detectados por los antivirus.

Nunca introduzcas tus datos de acceso en webs sospechosas cuya dirección no empieza por "https://"

Y, como siempre te decimos, recuerda cambiar de contraseña con cierta frecuencia y generarla de tal forma que no sea fácil de intuir por terceras personas.

 

ViveInternet
Referencias: