Home / Curiosidades web / Phishing: qué es y cómo protegerse

Phishing: qué es y cómo protegerse

Phishing: qué es y cómo protegerse - DattaMagazine

El phishing es un peligroso método de engaño que recobró relevancia recientemente, al produciste el robo de cientos de miles de contraseñas de correo electrónico Hotmail. El peor de los casos afecta a los usuarios de e-banking y home banking.

Este artículo fue publicado originalmente en la edición de noviembre de 2009 de DattaMagazine, la revista de tecnología de Dattatec.
Autor: Javier Richarte – javier.richarte@dattamagazine.com

Miles de usuarios -principalmente de Latinoamérica- se vieron afectados recientemente al haber sido revelados sus nombres de usuario y respectivas contraseñas de algunos servicios de webmail (como Hotmail y Yahoo Mail), las cuales se publicaron en un sitio web. El acontecimiento fue noticia en todos los medios de prensa, tanto gráficos y televisivos, como en los especializados. En la mayoría de los informes presentados se culpó a hackers, pero vale destacar que el phishing no requiere grandes conocimientos sobre programación ni sobre comunicaciones para ser llevado a cabo: lo único que se necesita es saber cómo persuadir a otra persona para obtener información personal (nombres de usuario, contraseñas, datos personales, fechas y números de cuentas bancarias y/o de tarjetas de crédito, por ejemplo).

PHISHING

Se trata de una modalidad más de ingeniería social con el único objetivo de obtener datos, claves, cuentas bancarias y números de tarjeta de crédito de un usuario (conocido o no) para luego utilizarlos de forma fraudulenta, como por ejemplo, realizar estafas.
Consiste en engañar al usuario de determinado servicio haciéndose pasar o haciendo pasar un mensaje como oficial, cuando en realidad es falso. En esa transacción se le solicita al usuario sus datos personales, incluyendo contraseñas y claves. ¿Recuerdan los casos de teclados falsos, lectores de tarjetas y minicámaras instaladas en cajeros automáticos? Ese es uno de los métodos más antiguos y precarios de phishing, pero no por eso menos efectivos.
Hoy en día se realiza mediante una combinación de correo electrónico (para notificar la solicitud de la información personal) y un sitio web falso, pero muy parecido al oficial (para registrar los datos que el usuario ingrese), sin embargo existen otros métodos a saber:

Llamada telefónica: se recibe una llamada telefónica en la que el emisor emula ser de una entidad para que el usuario le otorgue información privada.

SMS (mensaje de texto): la recepción de un mensaje donde le solicitan sus datos personales.

Ventana emergente: método muy utilizado en el que se suplanta la imagen de una entidad (bancaria, financiera, etc.) que, a simple vista, parece ser la oficial; con el fin de que el usuario facilite información propia. La más empleada es la imitación de páginas web de entidades bancarias. Otro caso similar es el de los pop-up con ofertas falsas, en los que se ofrecen atractivos productos a precios más atractivos aún, en los que un usuario muy novato puede verse tentado y rellenar el formulario adjunto para realizar la compra, obteniendo así del otro lado la información deseada, incluido el número de tarjeta de crédito.

Correo electrónico: es el mecanismo más utilizado y también el más conocido. Los usuarios reciben un correo electrónico que emula ser de una entidad (pareciendo casi el real, con logotipos, el mismo diseño y presentación que el oficial). La información es supuestamente requerida por asuntos de seguridad, encuestas, mejoras en el servicio, mantenimiento, confirmación de identidad, etc. para que el noble usuario facilite la información deseada. El mensaje de e-mail contiene además enlaces falsos o formularios para rellenar directamente.
Aprovechan también las vulnerabilidades de los navegadores y/o software cliente de correo, para que el usuario ingrese los datos personales sin saber que los está enviando sin escalas al estafador, para después usarlos en forma fraudulenta (robando su dinero, realizando compras online, etc.)

VARIANTES DEL PHISHING

El pharming se aprovecha de ciertas vulnerabilidades en el software instalado en servers DNS (responsables de “traducir” nombres de host en direcciones IP) de manera que un atacante pueda capturar el nombre de dominio de un sitio web y cambiar el destino de un sitio o host hacia otro. Así, un usuario puede estar plenamente convencido de encontrarse en el sitio web de su banco (tal como lo indica la barra de direcciones), pero en realidad puede estar siendo estafado. En este caso los usuarios no tenemos demasiada protección, salvo que los administradores de los DNS estén atentos a estos ataques y controlen las vulnerabilidades de sus servidores.
Por su parte, el vishing es un mecanismo fraudulento similar al phishing, que emplea servicios de VoIP (voz sobre IP) para persuadir mediante ingeniería social a los usuarios y obtener información personal relevante.
El caso más típico del vishing es mediante una técnica llamada war dialing: el agresor graba un mensaje que simula ser el oficial de, por ejemplo, una entidad bancaria; y una o más computadoras se dedican a llamar a números telefónicos (al azar o a determinadas áreas o rangos). En el mensaje grabado se le solicita al cliente que ingrese los números de su tarjeta de crédito, clave, etc., del otro lado, el mismo equipo registrará los datos obtenidos.

CÓMO PROTEGERSE

Los organismos bancarios nunca solicitan contraseñas, números de tarjeta de crédito u otros datos personales telefónicamente, ni por fax, por SMS o e-mail. Ya poseen sus datos y, en todo caso, el usuario es quien puede solicitarlos por pérdida u olvido.
En caso de recibir un mensaje de este tipo, ignorarlo o eliminarlo.
No clickear en un enlace incluido en un e-mail. Ingresar manualmente a sitios web que comprendan intercambio de información crítica o transacciones de dinero.
Evitar el spam: es uno de los medios principales para distribuir mensajes de este tipo. Instalar un buen antispam si es que nuestro cliente de correo no posee. Spamihilator es un software gratuito, funciona muy bien, está disponible también en español y se adapta a cualquier cliente de correo (http://www.spamihilator.com/).
Los mensajes de e-mail son muy fáciles de interceptar y, por lo tanto, que caigan en manos non-santas, nunca se debe enviar información sensible por este medio (datos personales, números de cuentas bancarias, claves y contraseñas).
No temer al uso de servicios como el e-banking, el home banking, de subastas o compras online. Son operaciones totalmente seguras que nunca en la historia han reportado casos de estafa o robo de información, muy a diferencia de usuarios que han sido víctimas del phishing.
Se recomienda comprobar periódicamente el certificado digital (haciendo doble clic en el candadito de la barra de estado, en la parte inferior del navegador).
Es recomendable tomar por costumbre la examinación del detalle de movimientos de la cuenta bancaria y del resumen de la tarjeta de crédito para detectar cualquier actividad inusual.
Tener las últimas versiones disponibles de los navegadores, service packs para los sistemas operativos y paquetes de ofimática, así como los más recientes parches de seguridad. Por ejemplo, Internet Explorer de Microsoft posee un detector de suplantación de identidad (anti-phishing) recién desde su versión 7.0. No se recomienda el uso de Internet Explorer 6.0.

Encontrá más artículos de Javier Richarte en DattaMagazine.com!

¡Añade un comentario!

Tu dirección de correo electrónico no será publicada.