Seguridad: ¿Qué es el phishing y cómo protegernos?

UaláUalá Verificado, Staff Ualá Superusuario Nivel 2Publicaciones: 110
editado 30 de June en Seguridad y claves
Al trabajar día a día utilizando Internet, exponemos nuestra información privada a muchas amenazas. Esto es así ya que, al igual que existen los delincuentes en el mundo físico, también existen los “ciberdelincuentes” en Internet, y están interesados principalmente en robar nuestra información.

phishing seguridad

El número de nuestras tarjetas bancarias, su código de seguridad, la información de nuestra tarjeta de coordenadas, una copia o escaneado de nuestro DNI/INE, todas nuestras contraseñas, nombres de usuario de sistemas, y muchos elementos más, forman parte de nuestra información privada. La misma, es de gran valor para personas malintencionadas.


¿Cómo roban nuestra información privada?

Una de las formas en que los ciberdelincuentes roban nuestra información privada es engañándonos para que nosotros mismos se la proporcionemos. Este tipo de engaños se denomina “Phishing”, y aunque parezca mentira, es muy fácil caer en ellos.

Para los ciberdelincuentes, además, ¡es muy fácil realizarlos! Por lo tanto, debemos estar muy alertas.

¿Por qué se llama phishing?

Este nombre, viene del inglés “Pescar”, y la relación está en que los ciberdelincuentes nos hacen “morder un anzuelo” cuando nos engañan y nosotros terminamos brindándoles nuestra información.

Posibles escenarios

El Phishing suele ocurrir con mayor frecuencia mediante correo electrónico, aunque puede ocurrir por otros medios, como SMS, redes sociales, etc. Para aprender más sobre él, veremos algunos escenarios comunes que nos pueden ocurrir:

Escenario 1
Mensajes que solicitan información privada
Estábamos revisando los correos del día, cuando nos encontramos con el correo que se muestra en la imagen. Si bien no estaba bien redactado, para no quedarnos sin acceso a nuestro correo, enviamos rápidamente los datos solicitados, ya que teníamos poco tiempo para hacerlo. ¡Muy bien!. Siempre que entreguemos información privada por email (contraseñas, números de tarjeta de crédito, fotografía de nuestro documento, etc.) estamos siendo víctimas de Phishing. Ninguna organización legítima (banco, universidad, empresa privada, etc.) nos solicitará datos privados por email.

El correo no siempre dice la verdad

Cuando recibimos un correo electrónico, podemos ver el nombre de quien lo envía y su dirección de correo. Ambas cosas, pueden ser falsificadas con suma facilidad por cualquier ciberdelincuente. Por lo tanto, no debemos confiar en un correo mirando solamente quién lo envía.

Escenario 2
Mensajes con suplantación de identidad
Recibimos por email un mensaje de nuestro banco que indicaba que por ser miembros de nuestra organización, habíamos ganado una cantidad importante de puntos para ser canjeados por distintos productos. Para canjear nuestros puntos, debíamos ingresar a nuestro Homebanking a través de un botón en el mismo correo. Intentamos ingresar reiteradas veces, pero luego de ingresar nuestras credenciales, ocurría un error en el sitio.

Si el remitente del email es nuestro banco ¿Realmente proviene de nuestro banco? Desafortunadamente, el remitente de un correo no es información suficiente para determinar si el mismo es legítimo. Incluso, un ciberdelincuente puede hacer una copia exacta de un correo original de, por ejemplo, nuestro banco, y no habría, a primera vista, indicios de su engaño.

¿Por qué luego de ingresar las credenciales de nuestro Homebanking, ocurría un error en el sitio? Los ciberdelincuentes pueden hacer copias idénticas de cualquier sitio con total facilidad. Su objetivo es robar nuestras credenciales, por lo tanto, luego de que las ingresamos, puede mostrarnos lo que desee, por ejemplo, una página de error para que no sospechemos lo sucedido.

¿Cómo detectamos entonces estos correos de Phishing?

Este tipo de correos nos incitan a hacer clic en un enlace o botón que nos lleva a un sitio web falso, creado para engañarnos y robar nuestros datos privados.

Dichos sitios suelen tener direcciones similares o hasta idénticas a las legítimas, por lo que pueden pasar desapercibidos.

Sitios con conexiones seguras

Los sitios con conexiones seguras, tienen direcciones que comienzan con httpS y nuestro navegador nos lo indica mediante un candado verde, o la palabra “seguro” o “conexión segura” al inicio de la misma.

Lo único que nos indica esto, es que la comunicación entre nuestro dispositivo y el sitio web no puede ser interceptada por terceros, pero nada nos dice acerca de la confiabilidad del sitio web que estamos visitando.

¿Qué hacemos frente a estos casos?
La forma de prevenir que caigamos en este tipo de engaños es evitando hacer clic en un link o botón de un correo, y escribir nosotros mismos, cuidadosamente, la dirección a la cual deseamos ingresar.

Escenario 3 - Un caso más sofisticado
Recibimos un correo del área RRHH que nos invitaba a leer un archivo PDF adjunto. Decidimos abrirlo, ¡y era una invitación para la fiesta de fin de año de nuestra organización!. Siguiendo las instrucciones para confirmar nuestra asistencia, hicimos clic en un link dentro de este PDF, e ingresamos nuestro nombre de usuario en el sitio que se cargó.
Tomemos como costumbre dudar de todos los enlaces. Recursos Humanos no necesita nuestras contraseñas para confirmar la asistencia a una fiesta. Preguntemos a Recursos Humanos sobre el correo. Si era un engaño de un ciberdelincuente, podremos advertir a tiempo a nuestros compañeros.

¿Cómo disminuir los casos de phishing?

Lo que podemos hacer para luchar contra estos engaños es reenviar cada correo de Phishing que recibamos al área Seguridad de la Información de nuestra organización, y luego reportarlo desde nuestro cliente de correo. Esto, ayudará a que haya menos víctimas, ya que se dará de baja el sitio falso del ciberdelincuente para impedir su accionar.

Nunca debemos compartir nuestra información privada, no importa el medio por el cual nos la pidan. Además, debemos estar atentos, ya que el Phishing es un riesgo al que nos exponemos todos los días al utilizar Internet.

¡Gracias por ayudarnos a combatir el phishing!

Este hilo ha sido cerrado.