Phishing

DEFINICIÓN

El phishing es un intento a través del teléfono, correo electrónico, mensajería instantánea (MI) o fax, de recabar información de identificación personal de los usuarios con el fin de robar su identidad y, en última instancia, su dinero. La mayoría de estos intentos adoptan la forma de acciones legítimas, es decir, en apariencia son perfectamente legales, pero en realidad son acciones delictivas. El típico ataque de phishing electrónico consta de dos componentes: un correo electrónico aparentemente auténtico y una página Web fraudulenta. Esto convierte al phishing en una actividad particularmente dañina porque las personas que lo practican son expertos en crear un sentimiento de legitimidad en las víctimas. Los correos electrónicos en formato HTML incluyen a menudo logotipos corporativos, colores, gráficos, estilos de fuentes y otros elementos, y pueden tratar sobre distintos temas, como puedan ser problemas relacionados con cuentas, verificaciones de cuentas, actualizaciones de seguridad y ofertas de productos o servicios nuevos. Los enlaces Web incluidos en estos correos electrónicos casi siempre tienen la apariencia de los sitios legítimos que imitan, haciendo que sea casi imposible detectar el fraude.

El pharming es parecido al phishing, pero en lugar de solicitar directamente información personal, secuestra las direcciones URL legítimas como, por ejemplo, "www.mybank.com", para redirigirlas, a través de un servidor de nombres de dominio (DNS), hacia direcciones IP fraudulentas idénticas a las originales. Acto seguido, estas direcciones URL falseadas se encargan de recopilar, por medio de una interfaz gráfica de usuario, la información personal de los usuarios sin que éstos se percaten de nada. Puesto que el pharming precisa de un mayor grado de agudeza técnica para llevarse a cabo, y dado que los DNS son muy difíciles de manipular, su presencia es inferior a la del phishing. De todas maneras, existe la posibilidad de que el pharming se convierta en una amenaza mayor en un futuro próximo.

CÓMO PERCATARSE DE SI ESTÁ SIENDO VÍCTIMA DE UN ATAQUE DE PHISHING O PHARMING

En los tiempos que corren, cualquier solicitud de información confidencial debería ser motivo de sospecha. Ninguna empresa legítima, como bancos, compañías de tarjetas de crédito, sitios de subastas en línea o compañías aéreas, utilizan el correo electrónico para solicitar o comprobar la información personal. Además, a no ser que haya iniciado una conversación telefónica en la que se le solicite dicha información, se debería suponer siempre que dicha solicitud de información es fraudulenta.

CÓMO PROTEGER LOS PC Y LOS DISPOSITIVOS MÓVILES DEL PHISHING Y PHARMING

• Desconfíe. No se fíe de su criterio personal para intentar distinguir si una solicitud de información personal es legítima o ilegal. Los creadores de phishing y pharming son delincuentes sofisticados con mucha experiencia en estafar incluso a los usuarios más avispados.
• No confíe nunca su información personal a personas o empresas que no conozca, especialmente si no ha sido usted quien ha iniciado la comunicación.
• Elimine todos los correos electrónicos que soliciten información confidencial. Si cree que la solicitud es legítima, utilice un número de teléfono establecido para comprobar la solicitud; sólo entonces debería compartir la información por teléfono.
• Compre e instale software antiphishing y antipharming. Trend Micro ofrece las siguientes soluciones antiphishing y antipharming para usuarios particulares:
• Actualice el correo electrónico y las aplicaciones de mensajería instantánea con los parches de seguridad más recientes.
• Póngase en contacto con su proveedor de servicios de Internet (ISP) para comprobar qué nivel de protección proporciona contra el phishing y el pharming.

OTROS RECURSOS

• Mapa de spam