¿Qué es y cómo reconocer el phishing?

Por Mara Delgado 17 de febrero de 2020 Tiempo de lectura estimado: 6 minutos Se trata de un tipo de fraude cibernético que tiene como objetivo obtener información personal y bancaria de los usuarios como números de tarjetas, NIP y contraseñas para saquear los fondos de tarjetas y hacer compras o transacciones no autorizadas. 

El término phishing proviene de la palabra en inglés fishing que significa pescar y hace referencia al cebo y la pesca con fines informativos.

Como usuario de Internet es difícil reconocer este tipo de fraude, porque los ciberdelincuentes crean correos electrónicos con la apariencia de una empresa formal y legítima, como puede ser de instituciones como bancos, universidades, hoteles o tiendas online, a través de los cuales invitan a los usuarios a visitar páginas web fraudulentas, por medio de links.

El usuario puede sospechar de phishing cuando al acceder al link o al correo, aparece un mensaje sobre un presunto ataque de virus que para contrarrestarlo y activar el sistema de seguridad del sistema es necesario introducir datos personales. 

Al introducir la información el mensaje es interceptado por un malware que se instalará en el equipo del usuario una vez que éste haya logrado acceder al sitio web malicioso. Ya dentro de la página, se controlan y supervisan las acciones de la víctima hasta que el phisher logra obtener sus datos de la banca en línea.

Este tipo de fraude es complejo de detectar a tiempo pues el cibernauta no logra ver algún cambio en su equipo.

Entre los principales mensajes que usan los ciberdelincuentes para atrapar a los usuarios se encuentran los siguientes:

  • Problemas de carácter técnico.
  • Detecciones de fraude y la necesidad de incrementar el nivel de seguridad en un equipo.
  • Nuevas recomendaciones de seguridad.
  • Cambios en la política de seguridad de la institución.
  • Promoción de nuevos productos.
  • Premios, regalos o ingresos económicos inesperados.
  • Accesos o usos anómalos de la cuenta bancaria personal.
  • La desactivación de algún servicio.
  • Atractivas ofertas de empleo.

¿Qué tipos de phishing existen?

Los más comunes son los siguientes:

Correo electrónico engañoso

Como ya se mencionó con anterioridad son correos falsos con apariencia idéntica a la de una institución formal, estos correos son escritos en HTLM, con direcciones falsas y con un correo remitente idéntico al original, para pasar desapercibido.

Para que el correo parezca confiable los hackers ponen el nombre de una persona que posiblemente conozca la víctima en el remitente y además lo mandan a varias personas o contactos de la víctima, así da una apariencia confiable y las personas que conocen al remitente lo abren confiados en que se trata de un correo normal.

También los delincuentes pueden hacer esto cuando el puerto donde se alberga la cuenta de correo electrónico no pide autentificación, así los hackers pueden hacer uso de cualquier cuenta alojada en ese servidor y suplantar la identidad.

Sitio Web falso

Son portales web fraudulentos con una apariencia muy similar a los de una institución legal existente, que además poseen un dominio casi igual al de la página verdadera, pues lo imitan cambiando algunos detalles como letras minúsculas por mayúsculas, haciendo difícil que el navegante de la web pueda percatarse de la anomalía.

SMS (smishing)

Son mensajes de texto que informan de una promoción atractiva o de algún premio que ganó el usuario y que está acompañado de un link. Cuando la víctima da click en el enlace se libera el malware y comienza a robar información.

Otras formas de phishing son por medio de llamadas telefónicas y por medio de ventanas emergentes en la web que contienen mensajes muy atractivos para el usuario como ganarse la lotería o un gran viaje.

¿Cómo prevenir el phishing?

Para evitar caer en este tipo de engaño y otros tantas modalidades de fraude cibernético como el smishing, pharming y el carding, la Policía Federal recomienda: 

  • No responder solicitudes de información personal por medio de correo electrónico, mensajes de texto o llamadas telefónicas.
  • Al visitar un sitio web, escribir directamente en la barra de dirección la URL y evitar ingresar por enlaces que proporcionan otros sitios.
  • Revisar con frecuencia los estados de cuenta y movimientos recientes para detectar transacciones no autorizadas.
  • Las entidades bancarias no solicitan información confidencial a través de canales no seguros como el mail.
  • Utilizar filtro anti-spam.
  • Utilizar un buen antivirus.
  • Desconfiar de correos que no demuestren su procedencia, de aquellos remitentes que el dominio sea diferente al que usualmente se recibe o si tiene faltas de ortografía.
  • Sospechar de correos que contengan mensajes de urgencia o de curiosidad y que soliciten una acción inmediata como abrir un enlace, descargar archivos o enviar datos personales.
  • No abrir enlaces de correos de remitentes desconocidos.
  • Configurar el correo electrónico de manera que puedas ver el remitente y no solo el nombre de quién envía, así como evitar la carga automática de contenido remoto.

¿Qué hacer en caso de ser víctima de phishing?

  • Contactarse con la Policía Cibernética, INAI o Condusef.
  • Si ya se reveló información financiera se debe llamar a la institución bancaria para bloquear cuentas, tarjetas y cambios correspondientes.
  • Si tiene que ver con la empresa donde se labora reportarlo a los jefes o al administrador de la red.

Seguro cibernético

Existe un tipo de phishing llamado whale-phishing o fraude (BEC) que está dirigido a directores ejecutivos o a correos electrónicos de una empresa. Busca robar las credenciales y datos personales de los equipos ejecutivos para realizar transferencias u otras acciones de gran impacto. Por ejemplo, un correo electrónico de un ejecutivo que autoriza una transferencia de fondos porque necesita pagar una factura de algún proveedor de manera urgente. 

De acuerdo con el periódico Financial Times, en Estados Unidos se tiene registrado que entre el 2014 y el 2016 este tipo de fraude afectó a 12 mil empresas con una pérdida de 2 mil millones de dólares.  Y en México, aunque no se tiene contabilizado este tipo de delito, en el 2018 cinco instituciones bancarias sufrieron el robo de fondos por transferencias no autorizadas derivadas de un software malicioso.

Por lo que es indispensable que las empresas cuenten con un seguro contra riesgos cibernéticos, porque se pone en juego su desempeño y competitividad. Las consecuencias de un fraude digital van desde la pérdida de fondos, sistemas dañados, multas reguladoras, perjuicios legales, indemnización de personas o empresas afectadas.

Un seguro contra riesgos cibernéticos cubre:

  • Respalda gastos y daños por extorsión.
  • Apoyo por reducción de utilidades por un ataque cibernético.
  • Cuando un empleado se equivoca en la programación.
  • Pérdidas de activos digitales.

Y como cualquier producto financiero que se disponga a contratar es recomendable que el interesado antes de decidirse por uno se cotice las ofertas de diferentes compañías para lograr la mejor compra.

Mara Delgado

Mara DelgadoRastreator.mx