¿Qué es “phishing” y por qué te importa?



Ahora que podemos manejar casi cualquier cosa desde Internet, tenemos acceso a nuestras cuentas bancarias y podemos hacer todo tipo de compras usando las tarjetas de crédito, somos más vulnerables que nunca a la malicia de quienes aprovechan la falta de experiencia de muchos usuarios para hacerse con datos privados y poner en peligro nuestras finanzas.
La tecnología es fabulosa pero no infalible y esto se ha comprobado con problemas como Heartbleed, un fallo de seguridad en el protocolo OpenSSL que es usado por cientos de web para enviar y recibir datos sensibles de forma segura. También han habido escándalos como el de Home Depot, una tienda de materiales de construcción de Estados Unidos, cuando los datos personales y de tarjetas de crédito de más de 100 millones de compradores en más de 2200 tiendas fueron robados y puestos a la venta a través de phishing.
Aunque existen muchas maneras de robar información como esta, el phishing es una de las formas de ataque más usados. Hoy te explicamos de qué se trata y cómo protegerte.

¿Qué es phishing?

La palabra phishing se pronuncia como fishing en inglés, lo que significa “pescando” en español. El nombre es perfecto para describir la técnica que se usa para conseguir datos sensibles, porque el atacante crea un cebo falso que engañará a la persona atacada y en muchas ocasiones será suficiente para obtener información delicada. El cebo falso suelen ser correos electrónicos, malware o páginas web diseñadas específicamente para que el usuario, sin saber qué está siendo engañado, introduzca los datos de la tarjeta de crédito, la información para entrar en la cuenta bancaria, o algo similar.

¿Por qué el phishing funciona tan bien?

Después de explicar en qué consiste esta técnica, pareciera que alguien que cae en ella no es muy inteligente, pero la verdad es que puede engañar a muchos porque los correos y los sitios web se ven reales, como si viniesen de las empresas legítimas. Además, este tipo de correos son enviados de miles o millones de personas al mismo tiempo para que las probabilidades de obtener resultados sean mayores.
Otra cosa importante que hace que el phishing sea exitoso es que usa ingeniería social diseñada para que el usuario entre en pánico, haga clic o responda de inmediato. Para lograrlo te dicen cosas como “tu cuenta ha sido suspendida” o “cerraremos tu cuenta si no haces clic aquí”. Estas mismas frases hacen que los usuarios atacados se desesperen y crean que deben tomar acción inmediatamente, pero al mismo tiempo son una buena manera de detectar cuando un correo no es legítimo.

pishing
Clásico correo de pishing que llega a tu bandeja de SPAM.

Así identificas cuándo es un ataque phishing

  1. Compañía. Los correos son enviados a miles de personas con muchas direcciones de e-mail distintas y lo hacen a ciegas, es decir, no saben quién es la persona que lo recibirá. Así que si no tienes ninguna afiliación con la compañía que te ha enviado al correo, debes asumir que es falso. Por ejemplo, si te están mandando un correo de Facebook diciendo que tu cuenta será suspendida a menos que hagas clic, y tú no tienes perfil en esta red social, obviamente, es un ataque de phishing.
  2. No mencionan nada sobre tu cuenta. En caso de que sí tengas cuenta en la compañía del correo, fíjate si mencionan algo específico sobre ti. Por ejemplo, que mencionen tu nombre de usuario o nombre real al principio del correo.
  3. Plazos. Si en el mensaje del correo te indican que debes hacer clic en menos de 24 horas porque si no tu cuenta será eliminada, es muy posible que sea phishing. Los servicios en Internet pueden darte plazos en varias ocasiones, pero nunca serán tan definitivos o amenazantes.
  4. Enlaces. Ya que los atacantes no pueden obtener el dominio original de la empresa a las que están usando para hacer phishing, normalmente compran otra URL similar, con una letra adicional en el nombre, o quizás una completamente distinta pero con un subdominio que contenga el nombre de la compañía. Si el servicio legítimo te va a mandar un enlace, lo hará usando el dominio original de ellos o un subdominio del mismo.
Es importante que tengas en cuenta que ningún banco del planeta tierra solicita información sensible por correo electrónico, el banco usualmente lo único que envía e tu email son promociones, publicidad, o estados de cuenta. Nunca debes compartir tus números de tarjetas de crédito por correo, ni por mensajería instantánea, y si alguien intentan convencerte que forma parte de una institución legitima a la que estás afiliado, puedes intentar comprobarlo ofreciendole datos falsos sobre tu identidad, datos que solo podría identificar como falsos si de verdad posee tu información en una base de datos de la empresa.

Imagen de portada: David Evison – Shutterstock

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Sample Focus, una sencilla web para descargar muestras de sonidos

Edita todas tus fotografías a la vez gracias al procesado por lotes