No sólo el malware es utilizado con fines criminales; el molesto spam ya tiene un descendiente que tiene como objetivo algo más que vender productos y llenar las casillas de basura: el phishing.
Así como el correo electrónico es uno de los medios de comunicación más utilizados de la actualidad, también es usado con otros fines, como el envío de gusanos de Internet, el spam y el phishing, entre otros.
Aunque el spam en si mismo no es más que un mensaje masivo con fines netamente comerciales, ya sea la producción de productos o servicios, y es muy molesto para los usuarios de Internet, no tiene fines dañinos. Sin embargo, el phishing si los tiene.
Como se puede ver en las noticias (por ejemplo, el artículo Phishing en Alza, de Andrew Lee, publicado recientemente), esta amenaza está en alza, y el número de ejemplos de phishing, y de víctimas, es cada vez mayor. En este artículo nos enfocaremos en explicar qué es, cómo reconocerlo y daremos algunas recomendaciones para no caer en su trampa.
El termino phishing, según Webopedia, comenzó a ser utilizado en 1996 por hackers que robaban contraseñas de la compañía AOL. Viene de la analogía de que los estafadores detrás del phishing están a la pesca (fish, en inglés) de usuarios desprevenidos en el mar que es Internet. El hecho de que esta palabra comience con ph en lugar de con f como debería ser en inglés, se atribuye a la tendencia de los hackers reemplazar la f por ph (como en el término phreak). Esta es sólo una de las explicaciones que se da sobre el origen del termino; de acuerdo a Wikipedia en Español, también se toma como la contracción de password harvesting fishing (cosecha y pesca de contraseñas).
El phishing en si mismo, más allá del significado de su nombre, consiste en un engaño formado de dos elementos:
Los criminales responsables del phishing, crean un mensaje de correo electrónico con el mismo estilo que los de alguna entidad bancaria, financiera o sitio de Internet reconocido. En el mensaje, incluyen alguna dirección web, que aprovechando distintos trucos, se lee idéntica a la verdadera, pero al hacer clic en el enlace, lleva a una página ficticia.
Cuando el usuario visita la página, verá que tiene una estética idéntica, o muy similar, al sitio de Internet de la entidad real, lo cual completa el engaño.
En los mensajes relacionados con el phishing, normalmente se le dice al usuario que es necesario renovar los datos asociados a su cuenta bancaria porque, por ejemplo, se han perdido por algún problema, y que es necesario que ingrese en el sitio, a través del enlace en el mensaje, para completarlos.
Entonces, el usuario engañado seguirá el enlace hacia la página falseada, ingresará sus verdaderos datos de ingreso, y de esta manera, los criminales tendrán acceso a estos.
Utilizando los éstos datos y siguiendo con el ejemplo de la cuenta bancaria, los criminales podrán acceder a sus cuentas, tarjetas de crédito, etc, y hacer cualquier operación con ellas.
Los mensajes de phishing de la actualidad afectan a grandes bancos y entidades internacionales (como el Citibank, VISA, Paypal), así como a aquellas entidades locales, como el banco CajaMadrid, de España, por nombrar uno de los ejemplos más recientes.
Ahora bien, muchos usuarios caen en estos engaños porque suponen que el mensaje de correo y el sitio de Internet realmente pertenecen a la entidad cuya imagen está siendo utilizada por los criminales. ¿Qué hay que hacer entonces para evitar ser víctima del phishing?
A fin de evitar el phishing, lo importante es no cliquear en los enlaces de los mensajes recibidos que puedan ser similares a los escritos. Los bancos y entidades financieras no tienen como política enviar mensajes de correo electrónico solicitando al cliente que reingrese los datos en la web, por lo que si recibe un mensaje como esto, es altamente probable que se trate de un engaño.
Si cree que el mensaje puede ser válido, no cliquee en el enlace incluido en él; en cambio, abra su navegador e ingrese normalmente al sitio web de su banco o de la entidad financiera nombrada en el mensaje. De esa manera, evitará ser redireccionado a un sitio falso y podrá comprobar la veracidad de la información recibida.
Además de esta forma manual de evitar el phishing, también es importante contar con una herramienta capaz de detectarlo en forma automática. Por ejemplo, un antivirus completo debe incluir detección contra este tipo de amenaza, dado que en muchos casos pueden esconder un troyano.
Antivirus como NOD32 son capaces de detectar mensajes de phishing, y eliminarlos directamente antes de que lleguen a la casilla del usuario. De esta manera, además de la prevención manual, el usuario podrá tener otra línea de defensa contra este tipo de estafas en línea.
Engaños de este tipo pueden ser evitados si no tomamos la ruta fácil (hacer clic en el enlace) y pensamos dos segundos si lo que estamos recibiendo es veraz o no. Los criminales intentarán aprovechar todos los métodos posibles, como siempre, y si no nos preocupamos por mantenernos alertas, podemos convertirnos fácilmente en víctimas.
Aunque el spam en si mismo no es más que un mensaje masivo con fines netamente comerciales, ya sea la producción de productos o servicios, y es muy molesto para los usuarios de Internet, no tiene fines dañinos. Sin embargo, el phishing si los tiene.
Como se puede ver en las noticias (por ejemplo, el artículo Phishing en Alza, de Andrew Lee, publicado recientemente), esta amenaza está en alza, y el número de ejemplos de phishing, y de víctimas, es cada vez mayor. En este artículo nos enfocaremos en explicar qué es, cómo reconocerlo y daremos algunas recomendaciones para no caer en su trampa.
El termino phishing, según Webopedia, comenzó a ser utilizado en 1996 por hackers que robaban contraseñas de la compañía AOL. Viene de la analogía de que los estafadores detrás del phishing están a la pesca (fish, en inglés) de usuarios desprevenidos en el mar que es Internet. El hecho de que esta palabra comience con ph en lugar de con f como debería ser en inglés, se atribuye a la tendencia de los hackers reemplazar la f por ph (como en el término phreak). Esta es sólo una de las explicaciones que se da sobre el origen del termino; de acuerdo a Wikipedia en Español, también se toma como la contracción de password harvesting fishing (cosecha y pesca de contraseñas).
El phishing en si mismo, más allá del significado de su nombre, consiste en un engaño formado de dos elementos:
- Un mensaje de correo electrónico simulando venir de una entidad reconocida
- Una página de Internet con la misma estética de la entidad
Los criminales responsables del phishing, crean un mensaje de correo electrónico con el mismo estilo que los de alguna entidad bancaria, financiera o sitio de Internet reconocido. En el mensaje, incluyen alguna dirección web, que aprovechando distintos trucos, se lee idéntica a la verdadera, pero al hacer clic en el enlace, lleva a una página ficticia.
Cuando el usuario visita la página, verá que tiene una estética idéntica, o muy similar, al sitio de Internet de la entidad real, lo cual completa el engaño.
En los mensajes relacionados con el phishing, normalmente se le dice al usuario que es necesario renovar los datos asociados a su cuenta bancaria porque, por ejemplo, se han perdido por algún problema, y que es necesario que ingrese en el sitio, a través del enlace en el mensaje, para completarlos.
Entonces, el usuario engañado seguirá el enlace hacia la página falseada, ingresará sus verdaderos datos de ingreso, y de esta manera, los criminales tendrán acceso a estos.
Utilizando los éstos datos y siguiendo con el ejemplo de la cuenta bancaria, los criminales podrán acceder a sus cuentas, tarjetas de crédito, etc, y hacer cualquier operación con ellas.
Los mensajes de phishing de la actualidad afectan a grandes bancos y entidades internacionales (como el Citibank, VISA, Paypal), así como a aquellas entidades locales, como el banco CajaMadrid, de España, por nombrar uno de los ejemplos más recientes.
Ahora bien, muchos usuarios caen en estos engaños porque suponen que el mensaje de correo y el sitio de Internet realmente pertenecen a la entidad cuya imagen está siendo utilizada por los criminales. ¿Qué hay que hacer entonces para evitar ser víctima del phishing?
A fin de evitar el phishing, lo importante es no cliquear en los enlaces de los mensajes recibidos que puedan ser similares a los escritos. Los bancos y entidades financieras no tienen como política enviar mensajes de correo electrónico solicitando al cliente que reingrese los datos en la web, por lo que si recibe un mensaje como esto, es altamente probable que se trate de un engaño.
Si cree que el mensaje puede ser válido, no cliquee en el enlace incluido en él; en cambio, abra su navegador e ingrese normalmente al sitio web de su banco o de la entidad financiera nombrada en el mensaje. De esa manera, evitará ser redireccionado a un sitio falso y podrá comprobar la veracidad de la información recibida.
Además de esta forma manual de evitar el phishing, también es importante contar con una herramienta capaz de detectarlo en forma automática. Por ejemplo, un antivirus completo debe incluir detección contra este tipo de amenaza, dado que en muchos casos pueden esconder un troyano.
Antivirus como NOD32 son capaces de detectar mensajes de phishing, y eliminarlos directamente antes de que lleguen a la casilla del usuario. De esta manera, además de la prevención manual, el usuario podrá tener otra línea de defensa contra este tipo de estafas en línea.
Engaños de este tipo pueden ser evitados si no tomamos la ruta fácil (hacer clic en el enlace) y pensamos dos segundos si lo que estamos recibiendo es veraz o no. Los criminales intentarán aprovechar todos los métodos posibles, como siempre, y si no nos preocupamos por mantenernos alertas, podemos convertirnos fácilmente en víctimas.
Ignacio M. Sbampato
Vicepresidente de Eset para