¿Qué es el Phishing?

Aunque existen diversas técnicas que el phisher podría utilizar para lograr su objetivo, la más frecuente es la utilización del correo electrónico junto a un sitio web falso. Entre las características más comunes que pueden ser encontradas en el correo electrónico enviando por el phisher, se encuentran las siguientes:

• Uso de nombre de compañías conocidas lo que permite al phisher adoptar la imagen corporativa y funcionalidad del sitio web de la empresa conocida, logrando así, confundir al receptor del mensaje.

• El remitente del correo es el nombre de un empleado real de la empresa que envía el correo. De esta forma, si el receptor del correo intenta confirmar la identidad de remitente, la misma será confirmada ya que el nombre del empleado existe en la empresa.

• El correo incluye direcciones a sitios web (URL’s) cuya apariencia es correcta. Sin embargo, se trata de una URL falsa que dirige al receptor del correo a un sitio web falso cuya apariencia es igual al de la empresa que se está utilizando para robar la información.

• En la mayoría de lo casos, el mensaje del correo presenta errores gramaticales o palabras cambiadas que no son usuales en las comunicaciones que enviaría la empresa que se está utilizando para robar información.

• El mensaje del correo, en la mayoría de los casos, amenaza al receptor con una pérdida (económica o de la cuenta del receptor en la empresa) si no se siguen las instrucciones indicadas en el correo recibido y que supuestamente están relacionadas con nuevas medidas de seguridad tomadas por la empresa.

La siguiente figura muestra los pasos de un ataque realizado por un phisher para obtener los datos de las cuentas bancarias de los usuarios de una entidad bancaria:

En el paso 1, el phisher prepara el correo electrónico con las características mencionadas anteriormente y los envía a un listado de posibles usuarios de la entidad bancaria cuya identidad se está utilizando para robar la información. Es importante señalar que se habla de posibles usuarios ya que el listado es generalmente obtenido de Internet y no tienen forma de cruzarlo con los datos de la entidad bancaria.

En el siguiente paso, el usuario si muerde el anzuelo, hace click sobre el url que aparece en el correo electrónico y una petición es enviada al servido web donde se encuentra la página web preparada por el phisher. En el paso 3, la página web falsa (cuya apariencia es igual al de la entidad bancaria) es mostrada al usuario y le solicita que introduzca su identificador (llamado login) y su contraseña de acuerdo a lo expuesto en el correo que recibió del phisher.

Una vez que el usuario introduce su identificador y contraseña, son enviados al servidor web que los almacenará hasta que el phisher los recupere (paso 4). Luego, en el siguiente paso, el estafador recupera los datos obtenidos a través de la página web falsa y que se encuentran almacenados en el servidor web utilizado para el ataque. Cuando los datos están en manos del phisher, intenta utilizarlos en la verdadera página web de la entidad bancaria (paso 6). Finalmente, si logra suplantar la identidad del afectado en la entidad bancaria, realizará un traspaso de fondos desde la cuenta del afectado a la del phisher (paso 7).

Es importante señalar que, pese a que el phisher logre engañar al usuario y obtener los datos necesarios para entrar a la entidad bancaria, es probable que no logre hacer la transferencia de dinero. Esto se debe a que algunas entidades bancarias, en aras de aumentar la seguridad de los usuarios, solicitan una segunda contraseña para poder realizar transferencias. Obviamente, si esta segunda contraseña es igual a la utilizada para entrar al sistema, el phisher podrá realizar la transferencia pese a este segundo mecanismo de seguridad.

Lo expuesto anteriormente no es más que un ataque de ingeniería social, y muchas personas han sido afectadas por este tipo ataques. Sin embargo, hay algunas medidas que se puede utilizar para evitar ser víctimas de un ataque de este tipo. Estas son:

• Nunca responda a solicitudes de información personal a través de correo electrónico, ya que las empresas y entidades bancarias de prestigio nunca solicitan contraseñas, número de tarjetas de crédito u otro tipo de información personal vía correo electrónico.

• Cuando vaya a visitar un sitio web, introduzca la dirección URL en la barra de dirección de su navegador. Nunca haga clic sobre una dirección URL que aparezca en un correo electrónico, ya que podría llevarlo a un sitio falso para intentar robarle información sensible que luego será enviada al estafador.

• Consulte frecuentemente los saldos de sus cuentas bancarias y tarjetas de crédito a fin de detectar posibles irregularidades y comunicarlas de inmediato a la entidad financiera correspondiente.

• Es muy frecuente que una persona tenga algún tipo de relación con una entidad bancaria en un país y reciba un correo electrónico supuestamente enviado por la misma entidad bancaria, pero de otro país y escrito en otro lenguaje. En ese caso, debe borrar el correo inmediatamente,ya que si su idioma oficial es el español, no debería recibir ningún mensaje que esté escrito en inglés o en otro lenguaje.

Finalmente, es importante leer periódicamente información acerca de este tipo de ataques, ya que constantemente se crean nuevas técnicas y debemos estar preparados para hacer frente a este tipo de ataques.