Este documento describe el phishing, que es un tipo de estafa cibernética donde los criminales se hacen pasar por empresas confiables para robar información personal. Explica cómo funciona el phishing a través de correos electrónicos falsos y sitios web engañosos, e incluye ejemplos de ataques de phishing dirigidos a bancos en Perú. También proporciona recomendaciones para protegerse del phishing.

1. PHISHING “Se conoce como ‘phishing’ a la suplantación de identidad con el fin de apropiarse de datos confidenciales de los usuarios ”. 1

2. INTRODUCCION Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[] o incluso utilizando también llamadas telefónicas. 2

3. ¿EN QUE CONSISTE ESTE DELITO? En la mayoría de casos, se suplanta la imagen de una empresa o entidad publica (casi siempre es una entidad financiera), y se envía miles de correos electrónicos (correo no deseado) a un sinnúmero de cuentas personales, solicitando en ellos la renovación o actualización de los datos personales del usuario que recibe dicho correo, haciéndole "creer" a la potencial víctima que realmente los datos solicitados por dicha entidad, provienen del sitio "oficial" cuando en realidad no es así. 3

4. CASO DE PHISHING A CLIENTES DEL BANCO DE LA NACION 4

5. PHISHING BANCO DE LA NACION En la siguiente captura se puede ver un correo falso que simula ser enviado por el Banco de la Nación de Perú, el mensaje intenta engañar a los usuarios para que accedan a una página fraudulenta, la excusa ya es conocida, un supuesto bloqueo temporal de la cuenta virtual. 5

6. PHISHING BANCO DE LA NACION Al hacer clic en cualquiera de los enlaces, la víctima termina en la siguiente página: 6

7. PHISHING BANCO DE LA NACION Si la víctima intenta acceder a su cuenta desde la página falsa se encontrará con lo siguiente: 7

8. PHISHING BANCO DE LA NACION Al ingresar los datos son enviados al estafador y se simula un proceso de datos. 8

9. PHISHING BANCO DE LA NACION Se solicitan más datos personales 9

10. PHISHING BANCO DE LA NACION Luego se procede a la presentación de un mensaje final para que la victima olvide el asunto. 10

11. PHISHING BANCO DE LA NACION Se piden todos los datos personales del usuario y sin importar que la información ingresada sea real, el proceso parece completarse. Si se observa la URL se verá que en todo momento se está en la página falsa. 11

12. PHISHING BANCO DE LA NACION El mensaje final indica que se deben esperar 24 horas mientras los datos son comprobados, esto les da tiempo suficiente a los estafadores para acceder a las cuentas de las víctimas, ver cuanto dinero tienen y robar sumas de dinero que no sean muy sospechosas. Por ejemplo si en un mes, entre todos los ataques que realizan, obtienen 500 víctimas y les roban un promedio de 25 dólares a cada una, se hacen unos 12.500 dólares. 12

13. PHISHING BANCO DE LA NACION Por ultimo cabe mencionar que en la página real del banco hay una sección de seguridad con recomendaciones y ejemplos de estafas habituales (www.bn.com.pe/seguridad-en-operaciones.asp), allí se explica claramente que la institución no solicita información personal mediante correos, mensajes de texto o llamadas telefónicas. 13

14. CASODECLIENTESDELBANCODECREDITODELPERU 14

15. En este caso los delincuentes cibernéticos enviaron un correo electrónico a todos los clientes del Banco de Crédito con el mensaje típico de que van a cancelar todas las cuentas, para darle mayor seguridad al usuario y por motivos de protección de sus cuentas. 15

16. Aquí se les solicitaba llenar un formulario para actualizar sus datos, en la cual se le pedía a la victima ingresar el número de su tarjeta de crédito, numero de cuenta y demás informaciones privadas de la persona. 16

17. 17

18. El enlace falso que se mostró anteriormente no direccionaba a la dirección web oficial del Banco de Crédito del Perú www.viabcp.com si no a un servidor desconocido con IP: 217.217.134.93, en el cual según el whois.net considero que se localizaba en Ámsterdam. En este resultado mostramos lo indicado: 18

19. 19

20. Lo que se debería hacer en estos casos es realizar una llamada telefónica a la entidad financiera y revisar la página web oficial, antes de proceder a llenar cualquier formulario online, para así evitar caer en manos de estos delincuentes. 20

21. CASO DE ATAQUE MASIVO DE PHISHING A FACEBOOK Y HI5 El objetivo de esta ofensiva es conseguir información personal de la víctima, y robar el perfil en la red social y datos privados de los contactos. Ataques masivos de phishing hacia redes sociales populares como Facebook o hi5 se están registrando en los últimos días en la web, según alertó la compañía de seguridad informática Eset. 21

22. PHISHING DE HI5 Lo advertíamos ayer con el Phishing a Facebook que este tipo de ataques podían comenzar a ocurrir masivamente y hoy nuestras sospechas se ven confirmadas, ya que hemos encontrado casos de sitios falsos en la red Hi5. 22

23. PHISHING EN FACEBOOK Si se intenta aceptar estas invitaciones o ingresar a la cuenta personal, en realidad se ingresa a un sitio falso, copia del original y creado con el fin de robar las credenciales (usuario y clave) del usuario engañado: 23

24. ¿CÓMO PUEDE USTED PROTEGERSE? La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje corto (SMS). Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos y NUNCA se lo van a solicitar, es de sentido común. Para visitar sitios Web, teclee la dirección URL (el dominio) en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO . Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por Internet. 24

25. CONCLUSIONES 1.- Nunca se debe dar a conocer claves de cuentas bancarias ni datos, ya que esto vulnera nuestros datos personales y además invadirían nuestra privacidad y que siempre es preferible que uno mismo ponga en la barra dirección el URL requerido. 2.- Nunca hacer click en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto debe tener en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial. 25

26. 3.- Siempre es preferible que uno mismo ponga en la barra dirección el URL de la página a la que se quiere acceder, ya que de esta manera nos cercioramos de ingresar al sitio web oficial y seguro. 4.- Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y aplicación de medidas técnicas a los programas, y aun así no es suficiente. Es por ello que es necesario que nos mantengamos constantemente informados sobre estos tipos de delito informático para no ser víctimas de estos estafadores. 26

27. RECOMENDACIONES 1.- Si es que la victima ya ingreso alguna información en la página web fraudulenta entonces se deberá seguir dos pasos básicos: Modificar lo más antes posible las contraseñas de su tarjeta y la de Internet. Comunicarse con la entidad bancaria, explicándole el caso en cuestión. 2.- Para las entidades financieras que manejen información importante privada de sus clientes deberá actualizar su navegador al usado más recientemente ya que Firefox como Internet Explorer han asegurado a sus usuarios informándoles acerca de cuando hay riesgo de phising o robo de sus contraseñas. 27

28. 3.- Verificar el certificado digital al que se accede haciendo doble click sobre el candado de la barra de estado en parte inferior de su explorador (actualmente algunos navegadores también pueden mostrarlo en la barra de navegación superior). 4.- Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S al final nos da un alto nivel de confianza que estamos navegando por una página web segura. 28