Pishing proviene de la palabra inglesa fishing (pesca) y se refiere a la técnica de hacer que el usuario “muerda el anzuelo”para que un criminal pueda obtener sus datos confidenciales
Quizá el término phishing te suene a chino. Pero ¿qué tal si hablamos de estafa y suplantación de identidad?
Este término que proviene de la palabra inglesa fishing (pesca) se refiere a la técnica de hacer que el usuario “muerda el anzuelo”. Esto quiere decir que, mediante el uso de una ingeniería social, el criminal (identificado como phisher) se hace pasar por otra persona o empresa con el objetivo de obtener de la víctima datos confidenciales.
Es sin duda uno de los ataques fraudulentos más importantes del siglo XXI y con los que numerosos clientes de diferentes compañías se han topado. Por ello es interesante que conozcamos en profundidad esta técnica y estemos preparados para protegernos ante ella.
Ingeniería social
Como comentamos, el phishing se basa en una ingeniería social que permite cumplir el objetivo marcado por un criminal: obtener datos confidenciales. Pero ¿qué significa eso de ingeniería social? Se trata de un término que se emplea en ciencias políticas y atiende al esfuerzo para influir en determinadas actitudes, relaciones o acciones sociales.
En definitiva y de forma más clara, consiste en el uso de técnicas para obtener información a través de la manipulación de usuarios.
En la piel de un phisher
Existen diferentes formas de aprovecharse de la confianza de los clientes. Ofertas seductoras, promociones y un carisma ejemplar por parte del “comercial” son solo algunos de los factores que intervienen en el proceso de seducción de un cliente.
Los estafadores son conscientes de la vulnerabilidad de algunos clientes y no dudan en aprovecharse de eso. Por supuesto y con el avance de las tecnologías, las posibilidades aumentan.
El phishing, en concreto, consiste en el robo de informaciones y datos de individuos haciéndose pasar por sitios de confianza. Se trata de suplantar la identidad de los verdaderos para dificultar la identificación y hacer que el usuario pique en la estafa.
En general, esta táctica se usa principalmente para atrapar clientes de bancos a través de falsos portales que imitan a la perfección los originales en los que el usuario introduce su identificación y contraseña y los datos llegan a manos de los criminales .
Pero ¿cómo consiguen que el usuario acceda a ese portal y no al verdadero? Sencillo. A través de correos electrónicos masivos que también simulan la identidad de los que podría enviar una entidad original. Así, con un mailing supuestamente verdadero, invitan al cliente a acceder a un link y por consiguiente, al timo.
Detectar los engaños
Evidentemente, en ocasiones, resulta complicado detectar cuándo estamos siendo víctimas de una posible estafa puesto que los correos electrónicos suelen ser bastante reales y si no nos fijamos en algunos detalles, podemos caer fácilmente.
En cualquier caso, si tenemos en cuenta algunas pautas, podremos detectarlos y protegernos ante estos abusos. Veamos algunas claves de actuación.
El email: primer contacto
Ya hemos visto que la primera forma de acercarse a las posibles víctimas es a través de un correo electrónico de una empresa conocida o una entidad bancaria. El primer paso para detectar su veracidad es ver si somos o no clientes de esa entidad.
Tengamos en cuenta que los delincuentes no saben a ciencia cierta si nosotros somos clientes o no de esa entidad, ellos se dedican a enviar email de forma masiva teniendo claro que algunos “morderán el anzuelo” y otros detectarán la amenaza y eliminarán el email.
Por tanto, debemos ser críticos y plantearnos si es o no posible que nuestro banco/empresa se comunica con nosotros a través de esa forma y si es normal.
Información personales
Si tenemos dudas acerca de la veracidad de este correo electrónico y hemos accedido a pinchar sobre el enlace, es probable que nos aparezca un mensaje en el que verificar nuestros datos.
Esto de por sí es sospechoso. Pero si aun así confiamos, o queremos salir de dudas podemos buscar el teléfono del remitente (el real) y llamar para confirmar que el correo electrónico que acabamos de recibir es verdadero.
URL
Al pulsar en el link, debemos fijarnos en la URL que se abre. Si tenemos clara cómo es la URL de ese banco, podemos comprarla. Es posible que nos confunda. Generalmente si la URL real es www.tubanco.com , la falsa será www.tu-banco.com. Para esto, buscaremos en algún motor de búsqueda la URL real y la compararemos.
Ahí detectaremos el fraude de forma sencilla y rápido. Así, eliminamos el email y fuera riesgos.
Personalización del correo electrónico
Se dirigen a ti con tu nombre personal o por el contrario ¿eres un simple estimado usuario?
Es fundamental fijarse en este detalle. Por norma general, nuestra entidad bancaria o empresa de telefonía tiene todos nuestros datos y se dirigirá a nosotros como Nombre Apellido y no como “estimado usuario”.
Certificado
Si el email va superando los puntos anteriores pero mantenemos las dudas, tenemos un truco más técnico para cerciorarnos. Hacemos clic en el link que nos envían en el mailing y en el navegador hacemos clic en el candado que muestra el enlace al final.
Por norma, en la pestaña general en el espacio “Este certificado ha sido verificado para los siguientes usos” aparece “Certificado del servidor SSL”. En phishing no se usa este certificado, por tanto cualquier aspecto contrario a este nos está indicando que se trata de un fradue.
En definitiva, tenemos a mano diferentes técnicas con las que identificar este fraude. Y es que al menos una vez en la vida, vamos a ser víctimas potenciales de este timo. Es fácil introducir nuestro correo electrónico en listas de suscripción que más adelante filtrarán nuestros datos a otras empresas, etcétera. Por ello, es fundamental tener una base que nos permita ser críticos antes posibles ataques para evitar el timo.
A partir de ahora, pongamos los ojos como platos ante los correos electrónicos de publicidad que puedan llevar camuflado un gran engaño. Muy atentos, como comentamos, al trato del correo y al tipo de dirección del link.