2. Que es el phishing?
Éste es un ejemplo de un intento de phishing. Haciéndose pasar por un correo electrónico oficial, trata de engañar a los
clientes del banco para que den información acerca de su cuenta con un enlace a la página del phisher.
Phishing, conocido como suplantación de identidad o simplemente suplantador, es un término informático que denomina
un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por
intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña. información detallada
sobre tarjetas de crédito otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una
persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico. o
algún sistema de mensajería instantánea. o incluso utilizando también llamadas telefónicas.1
3. Que tipo de phishing hay?
Como el caso anterior, esta
técnica es utilizada
en campañas masivas, por lo
tanto si bien estos ataques
tienen un muy bajo porcentaje
de víctimas, existe una gran
cantidad de usuarios afectados y
por ende credenciales
comprometidas.
Este procedimiento cuenta con
un nivel mayor
de complejidad y a diferencia
del anterior, utiliza por lo
menos dos o más sitios o
dominios para perpetuar la
estafa. Existen varias formas
conocidas y que pueden estar
clasificadas dentro de este tipo
de phishing.
4.
5. Los principales daños provocados por
phishing:
Robo de identidad y datos confidenciales de los usuarios. Esto puede
conllevar pérdidas económicas para los usuarios o incluso impedirles el acceso
a sus propias cuentas.
Pérdida de productividad.
Consumo de recursos de las redes corporativas (ancho de banda, saturación
del correo, etc.).
Una de las modalidades más peligrosas del phishing es el pharming. Esta
técnica consiste en modificar el sistema de resolución de nombres de dominio
(DNS) para conducir al usuario a una página web falsa.
Cuando un usuario teclea una dirección en su navegador, esta debe ser
convertida a una dirección IP numérica. Este proceso es lo que se llama
resolución de nombres, y de ello se encargan los servidores DNS.
Sin embargo, existen ejemplares de malware diseñados para modificar el
sistema de resolución de nombres local, ubicado en un fichero denominado
HOSTS.
6. Como llega?
El mecanismo más empleado habitualmente es la generación de un
correo electrónico falso que simule proceder de una determinada
compañía, a cuyos clientes se pretende engañar. Dicho mensaje
contendrá enlaces que apuntan a una o varias páginas web que imitan en
todo o en parte el aspecto y funcionalidad de la empresa, de la que se
espera que el receptor mantenga una relación comercial.
Respecto a la relación entre spam y phishing, parece claro que este tipo
de mensajes de distribución masiva puede ser una eficiente forma de
captación utilizada por los ciberdelincuentes. De hecho, uno de los
métodos más habituales de contacto para la comisión de delitos
informáticos es el correo electrónico.
Sin embargo, el canal de contacto para llevar a cabo estos delitos no se
limita exclusivamente al correo electrónico, sino que también es posible
realizar ataques de phishing a través de SMS, conocido como smishing, o
de telefonía IP, conocido como vishing.
7. Como protegerse
Seguro que estos últimos meses lleva escuchando en los medios
de comunicación varias veces la palabra “Phishing” y además
relacionándolo la mayoría de la veces con la banca por Internet.
Debido a la confusión que existe en algunos internautas noveles
y a algún medio de comunicación, que puede llevar a confusión
al internauta por el tratamiento de las noticias de forma
alarmista, donde incluso se puede deducir que la banca online
no es segura, dejando en entredicho la seguridad de las
entidades bancarias. Por todo esto, la Asociación de Internautas
quiere explicar que es el Phishing y cómo protegerse del mismo.
8. ¿Como reconocer un mensaje tipo
phishing?
El primer paso para identificar
un phishing es valorar el
contenido del mensaje o correo
electrónico. Como hemos
mencionado anteriormente, el
intento de suplantación puede
ser a un banco, una plataforma
de pago, una red social, un
servicio público, etc.