¬ŅQu√© es y c√≥mo reconocer el phishing?

Por Mara Delgado ‚Äļ 17 de febrero de 2020 ‚Äļ Tiempo de lectura estimado: 6 minutos Se trata de un tipo de fraude cibern√©tico que tiene como objetivo obtener informaci√≥n personal y bancaria de los usuarios como n√ļmeros de tarjetas, NIP y contrase√Īas para saquear los fondos de tarjetas y hacer compras o transacciones no autorizadas.¬†

El término phishing proviene de la palabra en inglés fishing que significa pescar y hace referencia al cebo y la pesca con fines informativos.

Como usuario de Internet es difícil reconocer este tipo de fraude, porque los ciberdelincuentes crean correos electrónicos con la apariencia de una empresa formal y legítima, como puede ser de instituciones como bancos, universidades, hoteles o tiendas online, a través de los cuales invitan a los usuarios a visitar páginas web fraudulentas, por medio de links.

El usuario puede sospechar de phishing cuando al acceder al link o al correo, aparece un mensaje sobre un presunto ataque de virus que para contrarrestarlo y activar el sistema de seguridad del sistema es necesario introducir datos personales. 

Al introducir la información el mensaje es interceptado por un malware que se instalará en el equipo del usuario una vez que éste haya logrado acceder al sitio web malicioso. Ya dentro de la página, se controlan y supervisan las acciones de la víctima hasta que el phisher logra obtener sus datos de la banca en línea.

Este tipo de fraude es complejo de detectar a tiempo pues el cibernauta no logra ver alg√ļn cambio en su equipo.

Entre los principales mensajes que usan los ciberdelincuentes para atrapar a los usuarios se encuentran los siguientes:

  • Problemas de car√°cter t√©cnico.
  • Detecciones de fraude y la necesidad de incrementar el nivel de seguridad en un equipo.
  • Nuevas recomendaciones de seguridad.
  • Cambios en la pol√≠tica de seguridad de la instituci√≥n.
  • Promoci√≥n de nuevos productos.
  • Premios, regalos o ingresos econ√≥micos inesperados.
  • Accesos o usos an√≥malos de la cuenta bancaria personal.
  • La desactivaci√≥n de alg√ļn servicio.
  • Atractivas ofertas de empleo.

¬ŅQu√© tipos de phishing existen?

Los m√°s comunes son los siguientes:

Correo electr√≥nico enga√Īoso

Como ya se mencionó con anterioridad son correos falsos con apariencia idéntica a la de una institución formal, estos correos son escritos en HTLM, con direcciones falsas y con un correo remitente idéntico al original, para pasar desapercibido.

Para que el correo parezca confiable los hackers ponen el nombre de una persona que posiblemente conozca la víctima en el remitente y además lo mandan a varias personas o contactos de la víctima, así da una apariencia confiable y las personas que conocen al remitente lo abren confiados en que se trata de un correo normal.

También los delincuentes pueden hacer esto cuando el puerto donde se alberga la cuenta de correo electrónico no pide autentificación, así los hackers pueden hacer uso de cualquier cuenta alojada en ese servidor y suplantar la identidad.

Sitio Web falso

Son portales web fraudulentos con una apariencia muy similar a los de una instituci√≥n legal existente, que adem√°s poseen un dominio casi igual al de la p√°gina verdadera, pues lo imitan cambiando algunos detalles como letras min√ļsculas por may√ļsculas, haciendo dif√≠cil que el navegante de la web pueda percatarse de la anomal√≠a.

SMS (smishing)

Son mensajes de texto que informan de una promoci√≥n atractiva o de alg√ļn premio que gan√≥ el usuario y que est√° acompa√Īado de un link. Cuando la v√≠ctima da click en el enlace se libera el malware y comienza a robar informaci√≥n.

Otras formas de phishing son por medio de llamadas telefónicas y por medio de ventanas emergentes en la web que contienen mensajes muy atractivos para el usuario como ganarse la lotería o un gran viaje.

¬ŅC√≥mo prevenir el phishing?

Para evitar caer en este tipo de enga√Īo y otros tantas modalidades de fraude cibern√©tico como el smishing, pharming y el carding, la Polic√≠a Federal recomienda:¬†

  • No responder solicitudes de informaci√≥n personal por medio de correo electr√≥nico, mensajes de texto o llamadas telef√≥nicas.
  • Al visitar un sitio web, escribir directamente en la barra de direcci√≥n la URL y evitar ingresar por enlaces que proporcionan otros sitios.
  • Revisar con frecuencia los estados de cuenta y movimientos recientes para detectar transacciones no autorizadas.
  • Las entidades bancarias no solicitan informaci√≥n confidencial a trav√©s de canales no seguros como el mail.
  • Utilizar filtro anti-spam.
  • Utilizar un buen antivirus.
  • Desconfiar de correos que no demuestren su procedencia, de aquellos remitentes que el dominio sea diferente al que usualmente se recibe o si tiene faltas de ortograf√≠a.
  • Sospechar de correos que contengan mensajes de urgencia o de curiosidad y que soliciten una acci√≥n inmediata como abrir un enlace, descargar archivos o enviar datos personales.
  • No abrir enlaces de correos de remitentes desconocidos.
  • Configurar el correo electr√≥nico de manera que puedas ver el remitente y no solo el nombre de qui√©n env√≠a, as√≠ como evitar la carga autom√°tica de contenido remoto.

¬ŅQu√© hacer en caso de ser v√≠ctima de phishing?

  • Contactarse con la Polic√≠a Cibern√©tica, INAI o Condusef.
  • Si ya se revel√≥ informaci√≥n financiera se debe llamar a la instituci√≥n bancaria para bloquear cuentas, tarjetas y cambios correspondientes.
  • Si tiene que ver con la empresa donde se labora reportarlo a los jefes o al administrador de la red.

Seguro cibernético

Existe un tipo de phishing llamado whale-phishing o fraude (BEC) que est√° dirigido a directores ejecutivos o a correos electr√≥nicos de una empresa. Busca robar las credenciales y datos personales de los equipos ejecutivos para realizar transferencias u otras acciones de gran impacto. Por ejemplo, un correo electr√≥nico de un ejecutivo que autoriza una transferencia de fondos porque necesita pagar una factura de alg√ļn proveedor de manera urgente.¬†

De acuerdo con el periódico Financial Times, en Estados Unidos se tiene registrado que entre el 2014 y el 2016 este tipo de fraude afectó a 12 mil empresas con una pérdida de 2 mil millones de dólares.  Y en México, aunque no se tiene contabilizado este tipo de delito, en el 2018 cinco instituciones bancarias sufrieron el robo de fondos por transferencias no autorizadas derivadas de un software malicioso.

Por lo que es indispensable que las empresas cuenten con un seguro contra riesgos cibern√©ticos, porque se pone en juego su desempe√Īo y competitividad. Las consecuencias de un fraude digital van desde la p√©rdida de fondos, sistemas da√Īados, multas reguladoras, perjuicios legales, indemnizaci√≥n de personas o empresas afectadas.

Un seguro contra riesgos cibernéticos cubre:

  • Respalda gastos y da√Īos por extorsi√≥n.
  • Apoyo por reducci√≥n de utilidades por un ataque cibern√©tico.
  • Cuando un empleado se equivoca en la programaci√≥n.
  • P√©rdidas de activos digitales.

Y como cualquier producto financiero que se disponga a contratar es recomendable que el interesado antes de decidirse por uno se cotice las ofertas de diferentes compa√Ī√≠as para lograr la mejor compra.

Mara Delgado

Mara DelgadoRastreator.mx