Huffpost Spain
Christopher Burgess Headshot

No te dejes 'pescar' por las redes del 'phishing'

Publicado: Actualizado:

2013-11-15-9538326347_5d3f028f7a_n.jpg
Foto: Vineetha Nair (Creative Commons).

Pescado y Phishing
Al primero se le come, al segundo se le debe evitar; ambos utilizan redes de captura. Vamos a hablar acerca del último: el phishing. Es el intento de inducir a una persona a que acepte cierta información como cierta y luego hacer que tome una acción específica al respecto (el colateral *gancho de phishing*). La información puede venir en forma de página web clonada o de correo electrónico con enlaces o archivos adjuntos. ¿Cómo de habitual es esta técnica?

Según el Anti-Phishing Working Group (Grupo de Trabajo Anti-Phishing, APWG por sus siglas en inglés) entre 25.000 y 50.000 sitios web funcionan en estos momentos con el propósito expreso de tentarte para entrar en ellos y cuando lo haces, el malware intenta infectar tu dispositivo. Añade a esto el hecho de que entre 300 a 500 sitios web son secuestrados en un momento dado y puedes comprobar que si no tienes cuidado, te verás en medio de la niebla de mentiras de un sitio clonado o secuestrado. Una manera de evitar esto es escribir la URL del sitio web directamente en la ventana del navegador web y no confiar en que un sitio/enlace desconocidos te brinden el vínculo correcto. De los sitios web objetivos de los criminales, aproximadamente el 70% están en los sectores financiero y bancario. ¿Qué puedes hacer para protegerte? El APWG ofrece la siguiente orientación con respecto a los correos electrónicos:

Sospecha de cualquier correo electrónico en donde te pidan información financiera personal urgentemente -a menos que el correo electrónico esté firmado digitalmente, no puedes estar seguro de que no sea falso. Los phishers (criminales que usan el phishing como técnica de captura de datos de sus víctimas) normalmente incluyen afirmaciones para emocionar -ya sea por algo bueno (premio) o algo malo (peligro)- en sus correos para que la gente reaccione inmediatamente de manera emocional. Suelen pedir información como nombres de usuario, contraseñas, números de tarjetas de crédito, números de seguridad social, fecha de nacimiento, etc. Los correos electrónicos de los phishers en general NO están personalizados, pero pueden estarlo (incluso pueden estar dirigidos a ti con tu nombre completo).

Los mensajes válidos de tu banco o empresa de comercio electrónico generalmente siempre están personalizados, sin embargo, llama SIEMPRE para comprobarlo si no estás seguro.  

No uses los enlaces de un correo electrónico, de mensajes instantáneos, ni de chat para ingresar a cualquier página web si sospechas que el mensaje podría no ser auténtico o no conoces al remitente o usuario. En su lugar llama por teléfono a la compañía que supuestamente está enviando el correo, o inicia sesión directamente en el sitio web escribiendo la dirección en tu navegador Web.

Evita llenar los formularios de los mensajes de correo electrónico en donde te soliciten información financiera personal. Solo debes comunicar información de cuentas o números de tarjeta de crédito en un sitio web seguro (https) o por teléfono.

¿Qué puedes hacer si recibes un ataque de phishing y lo reconoces como tal?  Ayuda a los demás. Por favor, informa al Grupo de Trabajo Anti-Phishing (haz clic aquí para ver sus instrucciones referidas a informes de phishing).