¿Qué es phishing?¿Y cómo prevenirte ante robo?

En México, los delincuentes han creado una serie de métodos para tratar de realizar fraudes a los clientes de servicios financieros. Y uno de ellos es el que se denomina ‘phishing’.

En términos generales, el ‘phishing’ es una práctica con la que se busca robar información personal, principalmente, la relacionada con tarjetas de crédito o débito.

La aplicación de esta estafa se basa en la usurpación. Y es que, los delincuentes crean páginas falsas, similares a la de un banco o una tienda en línea, en la que buscan que el cliente realice alguna operación cotidiana y en ella introduzca la información sensible que necesitan.

Dentro de esta práctica se identifican un par de variables. Dos de las más implementadas tienen que ver con el envío de sms o correos electrónicos donde se hacen pasar por instituciones bancarias. La intención es hacer creer a la víctima que se trata de una comunicación oficial.

En estos mensaje, los delincuentes incluyen enlaces a páginas falsas, donde se pide introducir la información confidencial. Incluso, algunos son enlaces en los que al hacer click se descargan malwares, muchos con la intención de robar información del dispositivo desde donde se realiza la visita.

Principalmente, los mensajes enviados tratan de persuadir a los clientes a abrir el enlace al informar sobre un supuesto cargo por una alta cantidad, o notificando sobre la cancelación de la tarjeta.

Al respecto, es importante decir que hay una variante del ‘phishing’ denominada ‘vishing’, en los que mediante una llamada telefónica, se hacen pasar por representantes de un banco y se pide la información confidencial.

El ‘phishing’ tiene diversos objetivos. Puede ser desde el propio robo de dinero o el uso indebido de alguna tarjeta de crédito, hasta la venta de datos personales.

¿Qué significa phishing? 

Con el avance de la tecnología, se nos ha permitido tener más  herramientas para comunicarnos; sin embargo, esto también ha hecho que la sofisticación para cometer delitos sea cada vez mayor.

Uno de los crímenes  más comunes es el phishing, que es la técnica utilizada por los delincuentes para buscar robarnos información sensible por medio de correos electrónicos que pueden parecer de una empresa legítima, como un banco, una institución de seguros, entre otras, donde se nos solicitan datos sensibles que pueden ser utilizados por los estafadores para afectarnos.

Por lo regular, estos mensajes piden actualizar información con la amenaza de que, si no lo hacemos, nuestra cuenta, por ejemplo, en un banco, se puede cancelar, lo que genera temor e incertidumbre en las personas que caen en esta trampa.

Historia del phishing 

El término phishing, que proviene de la palabra en inglés fishing y que hace referencia a picar el anzuelo, apareció en la década de los noventas cuando se dio a conocer un intento de robo de información de cuentas del servicio de American Online y a partir de ahí se ha vuelto en uno de los delitos recurrentes usados por los ciberdelincuentes, debido a la facilidad con la que logran intentar atacar de manera masiva ya sea por medio de correos electrónicos o cuentas de redes sociales.

 Virus phishing

Debido a que el phishing no es un virus sino una técnica que se puede materializar de diversas formas, lo más conveniente es sospechar de cualquier correo o mensaje que te pida información personal.

Asimismo, puedes usar antivirus que detectan de manera efectiva algún correo que pudiese tratarse de phishing, además de que siempre debes de actualizar estas herramientas.

Tipos de phishing 

• Tradicional: El hacker o delincuente envía un correo haciéndose pasar por una empresa legítima con el fin de obtener información personal del destinatario.

• Malware: Se envía un correo electrónico con un archivo adjunto que al ser descargado también se descarga un virus que aprovecha las vulnerabilidades del dispositivo para robar información. 
• Spear phishing: Mediante esta clase de ataque, los delincuentes buscan ser más específicos en su objetivo, es decir, ya no se envía un ataque a miles de usuarios, sino a un número reducido, y lo hacen no sólo por correo electrónico sino por redes sociales. 
• Smishing: Esta variación del phishing consiste en el envío de mensajes vía celular para que el destinatario abra algún enlace o se comunique a algún número telefónico para poder materializar el engaño. 
• Vishing: En esta técnica, los estafadores se comunican directamente, mediante una llamada telefónica, con la potencial víctima para que con engaños puedan sustraer tu información. 
• Fraude del CEO: Los estafadores buscan suplantar la identidad de algún alto ejecutivo de una organización para instruir información que les beneficie, como el depósito de una gran cantidad de recursos a una cuenta en su posesión.

Phishing características

Existen algunas características que hacen particular al phishing respecto a otros ataques informáticos que suceden todos los días. Por eso es importante conocer sus detalles para estar prevenidos y saber qué hacer si llegamos a recibir mensajes que busquen robar nuestra información.

Aquí algunas de sus características de estos mensajes:

• Dicen resolver algún problema de carácter técnico.
• Afirman haber detectado algún fraude y pide información para incrementar el nivel de seguridad.
• Afirma que es necesario llenar algunos datos para aceptar los cambios en la política de seguridad.
• Se promocionan nuevos productos.
• Prometen acceso a premios, regalos o ingresos económicos inesperados.
• Aseguran haber detectado accesos o usos anómalos a tu cuenta.
• Prometen falsas ofertas de empleo.

Ejemplos de phishing 

Existe una variedad de ejemplos de phishing; sin embargo, es común que en cuentas corporativas lleguen mensajes de personas desconocidas que dicen ser ejecutivos de un banco del otro lado del mundo que asegura tener acceso a una cuenta donde hay recursos de una herencia que nadie reclamará, por lo que sólo se requiere tener contacto con la persona que envía el correo electrónico para poder acceder a esos fondos.

 Por lo regular, en esta clase de mensaje, se busca que brindes información personal y financiera para poder robarte tus recursos, por lo que ten en cuenta siempre la premisa: demasiado bueno para ser verdad.

¿Cómo saber qué es un ataque de phishing? 

Para estar prevenido ante un ataque de phishing lo más importante es que estés atento a todas las señales, desde la dirección del correo que se te envía hasta la misma ortografía del mensaje.

Sin embargo, no siempre se puede estar alerta a las señales del phishing. Pero para verificar que, si se trata de un ataque de esta naturaleza, es necesario detectar las siguientes alertas:

• Ofrecen una dirección falsa: Por mucho que un mensaje te diga que hagas click en un enlace que tiene una dirección de una empresa legítima, debes de verificar letra por letra con el fin de detectar cualquier variación ante el nombre original.
• Página sin seguridad: Por lo regular, las páginas que son seguras empiezan con las letras HTTPS y se acompañan del dibujo de un candado, por lo que aquellas que no tengan estos dos mecanismos pueden ser una señal de alerta.
• Insisten en cerrar la cuenta: También se ha detectado que los mensajes de phishing están orientados en el sentido de que queda poco tiempo de tu cuenta y es necesario enviar alguna información, o dirigirte a algún enlace, para evitar su cancelación.

¿Cómo evitarlo phishing?

De acuerdo con la Condusef.gob.mx, para evitar ser víctima de este tipo de fraude es importante verificar la fuente de correos electrónicos o sms que se envían a nombre de bancos o tiendas.

En esa lógica, hacen énfasis que ninguna institución llamará para pedir información confidencial. Si es el caso, seguramente es un intento de estafa, pues los datos sensibles sólo se podrían solicitar si el cliente es el que realiza la llamada.

En el caso de concretar operaciones en tiendas en línea o banca digital, la autoridad llama a verificar la autenticidad del sitio. Entre otras cosas, poner mucha atención en  que el sitio cuente con el protocolo de seguridad “https”; así como el candado cerrado que se ubica en la barra de dirección. Sumado a lo anterior, se pide nunca utilizar redes o computadoras públicas si se va a realizar una operación en línea.

En este punto, cabe destacar que el ‘phishing’ es una forma de estafa que se deriva del ‘carding’. En términos generales, el carding busca conseguir el número de tarjetas bancarias por diversos mecanismos, uno de ellos, a través de la utilización de softwares que crean combinaciones en aras de dar con datos como los 16 números del plástico, la fecha de vencimiento, o el código de seguridad.

Tras estas prácticas, resulta necesario que los clientes de servicios financieros tomen sus precauciones. Es importante que monitoreen constantemente sus estados de cuenta para identificar posibles operaciones fraudulentas.

Pero sobre todo, dudar de cualquier tipo de comunicación por parte de bancos. Si se desea realizar alguna operación, lo mejor es que el cliente sea el que se ponga en contacto con la institución.

Si se detectan movimiento desconocidos, el primer paso a tomar es ponerse en contacto con el banco. Cada institución tiene un procedimiento para actuar ante este tipo de situaciones y guiar a los clientes para llegar a una solución.

¿Cómo protegerse de un phishing? 

Para evitar ataques de phishing nos podemos apoyar de antivirus y sistemas de seguridad que bloquean mensajes no deseables; sin embargo, la mejor forma de protección es configurar la bandeja del correo electrónico para detectar y evitar recibir spam, además de tener siempre en cuenta que en cualquier momento los estafadores buscarán robar nuestros recursos.

¿Qué es el carding? 

El carding es el uso ilegítimo de tarjetas de crédito o débito, donde se sustrae información de la persona dueña del plástico para hacer mal uso de ella ya sea para sustraer recursos o adquirir bienes. 

El carding se apoya en técnicas como el phishing o malwares, donde buscan que el usuario caiga en la trampa. Por ejemplo, un usuario recibe un correo electrónico supuestamente de su banco, donde solicitan una actualización de sus datos para no cancelar su cuenta bancaria; sin embargo, si el destinatario del mensaje envía sus datos ante el miedo de la cancelación, prácticamente facilita el acceso a sus recursos a delincuentes.