| Artículos | 01 SEP 2005

Cómo evitar el phishing

Tags: Histórico
Blanca Salvatierra.
Realizar nuestras operaciones financieras a través de internet resulta una forma cómoda y rápida de conocer el estado de nuestras cuentas. con la aparición del phishing son muchas las personas que temen utilizar los servicios de la banca online, sin ser conscientes de que tan sólo hay que seguir unas mínimas recomendaciones para no caer en el engaño. Vamos a ver qué pasos debemos seguir y en qué debemos fijarnos.

BENEFICIOS: Comprender cómo funciona el phishing para no ser víctima de él.
TIEMPO REQUERIDO: -
NIVEL DE EXPERIENCIA: Bajo
COSTE: 0 ¤
HERRAMIENTAS: Ninguna

La palabra phishing proviene de la contracción de password harvesting fishing o, lo que es lo mismo, “cosechando y pescando contraseñas”. Más allá del origen de la propia palabra, lo que nos interesa saber es que el phishing es un fraude mediante el cual se hace creer a una persona que se encuentra en un sitio seguro en el que puede introducir sus datos y contraseñas. No obstante, realmente se encuentra en una página copiada y todos los datos que introduzca irán a parar a otras manos.
El sector más atacado por el phishing es el financiero, al ser que el más beneficios ofrece a corto plazo. Los bancos online ofrecen buenas medidas de seguridad, por ello los delincuentes han decidido atacar a la parte más débil de las finanzas online: los clientes. Y es que el phishing no actúa por sí mismo, no se introduce en nuestro ordenador en busca de claves. Requiere de la intervención y colaboración del usuario, que éste facilite las claves de su banco en el mail que le ha sido enviado o que haga clic en la página web falsa y allí haga lo que se le indica.
El phishing no es un virus ni un spyware que se evite mediante la instalación de un programa de protección. Se trata de un fraude y la única forma de evitarlo es ser consciente de él y no caer en la trampa. Utilizando el correo electrónico como herramienta de captación, los que envían este tipo de mensajes tratan de aprovecharse de nuestra debilidad, del miedo que nos provoca que nuestras cuentas bancarias vayan a ser anuladas si no introducimos con presteza los datos donde se nos pide.

1- En qué consiste
El phishing consigue aunar en un mensaje varios de los problemas que existen en Internet. Por un lado, se incurre en spam cuando recibimos un mensaje de correo electrónico (falso, además) que no hemos solicitado. Por otro, el contenido del mismo es un engaño, una estafa en la que se pide nuestra información bancaria con la amenaza de cancelar nuestras cuentas si no facilitamos estos datos. Se utiliza el correo electrónico para la propagación del fraude debido a su sencillez y bajo coste para los delincuentes.
En las fotografías podemos observar dos casos de phishing. Aunque corresponden a dos entidades financieras en concreto, la imagen de buena parte de ellas ha sido utilizada para casos de phishing, lo que indica que ningún banco se encuentra a salvo de que su nombre sea utilizado con estos fines. Como vemos, en ambos casos se nos indica que debido a los intentos de fraude, se han visto obligados a establecer que cada persona ha de validar sus cuentas y, para ello, ha de introducir todos sus datos identificativos. En el momento en el que rellenemos esos datos de forma verídica y pulsemos sobre Entrar, los delincuentes poseerán toda la información necesaria para vaciar nuestras cuentas. Más aún, si alguien está familiarizado con la web de estos bancos en concreto (y como se supone que somos clientes lo estaremos), sabrá que nunca se pide el DNI, la clave y la firma en un solo paso. En este caso, no se nos reenvía a la página web ficticia del banco a rellenar los datos, como veremos en otro ejemplo más adelante, sino que el envío de datos se hace desde el propio correo.

2- Técnicas empleadas
Los motivos que se alegan para que introduzcamos nuestros datos bancarios son tan variados como la imaginación de los delincuentes, aunque suelen tener denominadores comunes. Así, se alegan problemas técnicos, cambios en la política de seguridad de la entidad, promociones o regalos y, lo que es más curioso, detecciones recientes de fraude. Otra de sus características es el tono de amenaza que se incluye en los correos electrónicos. Se nos informa de que si no introducimos las claves bancarias, nuestras cuentas se anularán en un breve período de tiempo, o cualquier otra catástrofe. Se incluye esa amenaza ya que, por un lado, se juega con el miedo de perder nuestras cuentas bancarias (algo ridículo si se piensa detenidamente) y, además, se obtienen los datos rápidamente, sin dar la posibilidad a que la posible víctima se informe o lo consulte con otras personas.
Los mensajes intentan hacernos creer que proceden de la entidad bancaria en la que confiamos (aunque con toda probabilidad nos llegarán correos electrónicos de supuestos bancos de los que ni siquiera somos clientes). Aunque en un principio estos mensajes se caracterizaban por estar muy mal escritos, en los últimos meses asistimos al perfeccionamiento de las técnicas empleadas. En el caso del mail anterior, en la primera imagen, si nos fijamos en el remitente, vemos cómo no se corresponde a un dominio verídico de la entidad, aunque en otros casos más perfeccionados puede corresponderse y tratarse de un phishing.

3- Cómo funciona
En algunos de los correos electrónicos se nos pide directamente que introduzcamos nuestras contraseñas en el propio e-mail, como en el anterior. En otros, se nos pide que pulsemos sobre un enlace que, perfeccionando el fraude, tiene una dirección muy parecida a la que enlaza con nuestro banco. La página enlazada es, por supuesto, falsa y consiste en una réplica idéntica de la verdadera página web de la entidad financiera.
La norma básica para evitar el phishing es no acceder a la página de nuestra entidad financiera a través de enlaces facilitados en correos electrónicos o webs de terceros. Una vez dicho esto, antes de que el phishing evolucionase y perfeccionase sus métodos, había aspectos en los que también nos podíamos fijar: la comprobación de que la conexión se realizaba a través de una conexión segura mediante https:// y que contaba con un certificado de seguridad válido. Ahora estos detalles no son fiables al 100%.
Utilizar siempre la opción de desconexión de la página web de nuestro banco, y no cerrar simplemente el navegador son recomendaciones que nos ayudarán a no ser víctimas de un engaño, pero no son suficientes por sí mismas. Como vemos en el ejemplo de la fotografía, la web que se indica es accesible mediante https://, y sin embargo se trata de un caso claro de phishing.

4- Perfeccionamiento del engaño
Aunque hubo un tiempo en que estas recomendaciones eran suficientes para identificar claramente el phishing, los estafadores también perfeccionan sus técnicas y es posible encontrar casos en los que parece que se realiza una conexión segura mediante la URL https:// o el indicador de sitio seguro mediante certificado, pero se trata de un caso de phishing. Vamos a ver un ejemplo: para llevarlo a cabo, se realiza una copia del formulario de la entidad en un servidor seguro propio con un certificado válido. Se modifica el formulario de la entidad de forma que cualquier nombre de usuario y contraseña introducidas van a ir a parar a un archivo en el que van a almacenarse, ya en manos de los delincuentes. Des

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información