Te explicamos qué es el phishing y te damos consejos para protegerte de esta técnica para robar datos.
El mundo de la informática está lleno de términos en inglés, que a veces dificulta la comprensión de su significado, especialmente cuando se trata de la seguridad de los dispositivos. En otras ocasiones hemos hablado del malware y el adware, pero no son los únicos peligros contra la seguridad que acechan a nuestros dispositivos, en esta ocasión te explicamos qué es el phishing.
El Phishing es una práctica habitual que pretende engañar al usuario haciéndose pasar por alguien de su confianza para averiguar sus datos personales (nombres, contraseñas, cuentas bancarias o tarjetas de crédito, etc.).
Es una variedad de la palabra inglesa “Fishing” (pescando), que sustituye la F por la Ph, una técnica habitual en el mundo de la programación (podríamos decir Hackers, pero no queremos utilizar más palabras inglesas).
¿Qué es el phishing?
La premisa básica detrás del phishing (o del intento de phishing) es sencilla: disfrazarse de una entidad o persona que merezca la confianza del usuario para convencerle de que facilite sus datos personales, para luego utilizarlos sin su conocimiento.
Antiguamente se hacía por teléfono, haciéndose pasar por la aseguradora, el taller mecánico o la administración pública, intentando de que el “cliente” facilitara datos para agilizar una gestión o desbloquear un procedimiento.
Con la llegada de internet y los medios de comunicación electrónicos, esta misma técnica se ha trasladado a este medio, y ahora son correos electrónicos o sitios web que aparentan ser legítimos los que intentan que introduzcas tus datos.
Puede ser para recibir un paquete, una gestión en el banco, o acceder a una comunicación de hacienda o la seguridad social. O quieras descargarte un programa para el ordenador o una película pensando que estás en la web legal, cuando en realidad están suplantando su identidad.
Técnicas de phishing
Estas técnicas de suplantación son muy comunes, y se han detectado más de diez mil variantes de phishing. Algunas, lógicamente, se pueden colocar en varias categorías diferentes.
Estas son las técnicas más comunes:
Phishing general, phishing tradicional, Bulk Phishing o Spray and pray. Consiste en la emisión masiva de correos electrónicos a usuarios. Estos correos suplantan a entidades de confianza, incluyen enlaces a dominios maliciosos y dirigen a páginas web falsas. Aunque se dirigen a usuarios reales (utilizando correos electrónicos obtenidos de bases de datos robadas), se trata de envíos masivos, con la esperanza (basada en la probabilidad) de que alguno “picará”.
Vishing. Se trata de una técnica de phishing pero a través de una llamada telefónica. Se utiliza cuando ya se ha obtenido la información confidencial a través de phishing, pero aún se necesita una clave SMS o token digital para realizar y validar una operación.
Smishing. Es un ataque de phishing a través de mensajes de texto (SMS o mensajería instantánea). El usuario recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informan que se ha realizado una compra sospechosa con su tarjeta de crédito. Se le pide que se comunique por teléfono con la entidad financiera ofreciendo un número falso o a través de una página web falsa.
URL Phishing. Se trata de engañar al usuario haciendo que una URL de un sitio malicioso parezca la URL auténtica. Para ello se utilizan variantes ortográficas similares al dominio legítimo, o siguiendo un enlace malicioso que parece correcto, o cambiando alguna letra del dominio original (por ejemplo usando letras griegas que son muy parecidas a las latinas).
Whaling. A diferencia de otros intentos de phishing, este se trata de un ataque personalmente dirigido a un objetivo concreto: personas importantes o influyentes, para robar sus datos. Por tanto, la información se dirige específicamente a ellos de manera que sea creíble.
Business Email Compromise (BEC) o estafas Man-in-the-Email. Consisten en usar el correo electrónico para desplegar tácticas de ingeniería social y engañar a empleados desprevenidos. Los formas concretas más habituales de este tipo de ataques son: Suplantación del director general, suplantación del empleado (para solicitar pagos de facturas a diferentes cuentas bancarias), suplantación de abogados, envío de facturas falsas, el robo de datos, etc.
Aún hay, como hemos dicho, muchas más variantes, que puedes leer en la Wikipedia.
Consejos para protegerte contra el phishing
– Configura varias direcciones de correo electrónico
Ten al menos dos cuentas de correo electrónico, una que utilices para las páginas webs y actividades públicas, y otra que utilices para tus comunicaciones personales.
Tu cuenta de correo personal deberías intentar que no fuera meramente tu nombre y apellidos, para que sea más difícil de adivinar.
Tu cuenta de correo pública deber ser la que utilices cuando te des de alta en páginas web o servicios de internet.
Si alguna vez tienes que dejar tu cuenta de correo electrónico por escrito en algún sitio público, en vez de ponerla tal cual, escríbela de manera descriptiva: en vez de nombre.apellido@dominio.com escribe nombre-punto-apellido-arroba-dominio-punto-com. De esta manera los robots que van capturando direcciones de correo electrónico por las paginas web, tendrán muchos problemas para reconocerla.
– No respondas nunca a ningún tipo de spam
Los emisores de spam comprueban la recepción y registran las respuestas (de hecho también registran cuando el correo se ha leído, por eso es necesario el siguiente paso).
– Configura un buzón para el correo no deseado.
Desplaza regularmente el “spam” a ese buzón, para que cada vez sea más eficiente.
– Cancela las suscripciones en la propia web del servicio.
Si recibes un correo electrónico para cancelar una suscripción a un servicio que no has solicitado, seguro que es para saber que ese correo es válido. Si quieres cancelar un servicio que has contratado, en vez de utilizar un correo que te envíen, ve a la web y cancela la suscripción all directamente.
– Actualiza tu navegador de internet a la última versión
Los navegadores se actualizan regularmente para proteger más eficazmente contra las páginas web falsas.
– Ninguna institución pública, bancaria o empresa te va a pedir que envíes datos confidenciales por email.
Si en algún caso tienes dudas de la legitimidad de la comunicación, recurre al viejo y querido teléfono y llama para confirmar.
Conclusión
Sólo en Estados Unidos, el FBI estimó que en los últimos cinco años han sido robados más de doce mil millones de dólares usando el método del Phishing.
Los intentos de suplantación aumentan cada año, y nadie está seguro o a salvo.
Antes de hacer clic, piensa si lo que tienes delante tiene sentido.
Si recibes correos electrónicos que están mal escritos, que tienen imágenes con mala resolución, o que simplemente de hablan de cosas con las que no tienes ninguna relación, no lo dudes, es un intento de que “pescar” tus datos haciéndote visitar una web o hacer clic en un enlace para que compres algo y luego poder usar tu personalidad para comprar en tu nombre o intentar acceder a tu cuenta bancaria.
Si tienes problemas de seguridad o consecuencias con el phishing, ponte en contacto con nuestros técnicos de Vicmicro e intentaremos darte soluciones lo antes posible.
VIC MICRO
C/ Fuente carrantona Nº 35 Local – 28030 Madrid
Tienda: (+34) 686 984 149
Empresas: (+34) 676 98 24 88
De lunes a viernes de 9.00h a 17.30h ininterrumpidamente.
