.
Inicio / BS Campus / ti / ¿Qué Hacer ante el PHISHING?
Que Hacer ante el Phishing

¿Qué Hacer ante el PHISHING?

Área: ti - Sub Área: Ethical Hacking

El "phishing" es una práctica que pretende conseguir de un usuario sus datos personales. Ya sean claves de acceso y contraseñas, números de cuentas bancarias, números de tarjeta de crédito, identidades, etc., a través del phishing el atacante busca alcanzar "todos los datos posibles" de su víctima para luego usarlos de manera fraudulenta. Para conseguir su objetivo, el atacante finge ser la organización con la que tienes algún trato, y para ello monta una página web similar. El malhechor envía de forma masiva correos electrónicos requiriendo actualización de datos, o informando de aparentes operaciones cargadas a la cuenta de la víctima, o informando que la cuenta del usuario fu bloqueada, entre otras afirmaciones. El mensaje contiene un enlace a la página web falsa, que hace parecerle a la víctima que todo está bien. El objetivo es causar en la víctima la impresión de que tiene que actuar de prontitud para impedir algún problema.

Lo cierto es que la organización fue sustituida y la víctima está por otorgar sus datos y ser objeto de fraude. En el mejor de los casos puede ser una falsificación de identidad; como una cuenta de correo electrónico gratuita a la que ya no gozará de acceso. En el peor de los casos serán operaciones financieras no autorizadas; como compras colosales, retiros de dinero, etc., que son el objetivo principal del phishing. Lo curioso es que a pesar de que se ha advertido de este tipo de fraudes, hay personas que hacen clic en los enlaces falsos de los mensajes de correo electrónico de este tipo e ingresan los datos que les solicitan.

Es habitual que las organizaciones con operaciones en, no envíen correo electrónico para pedir actualización de datos. El correo electrónico es la manera más utilizada para perpetrar phishing, ya que estamos conectados a Internet y se puede ingresar a la falsa página web de inmediato. Otra vía es el teléfono, aquí la ingeniería social juega un papel trascendental y puede ser el umbral de otros delitos, porque en algunos lugares los atacantes están organizados, y se valen de la información conseguida para evaluar a sus víctimas. Un ejemplo es recibir un mensaje en tu celular indicando que ganaste un aparente premio y debes llamar al número indicado en el mensaje o una llamada para pedirle la supuesta validación de datos. Te envuelven tanto que, una vez conquistada la confianza, suministres datos sensibles como el PIN o la clave de acceso. Los atacantes pretenden beneficiarse de la ingenuidad, curiosidad e impulso de sus víctimas. ¿Qué tal si es cierto? se preguntan las víctimas como excusa después de facilitar sus datos. Justificación que rápidamente se tornará en un dolor de cabeza.

¿Cómo debemos prepararnos?

Jamás suministres datos a terceros que no conozcas. Si deseas actualizar tus datos en el sitio web oficial de la organización, escribe tú mismo la dirección web en el navegador; y por teléfono, marcando el número telefónico oficial de la organización. 

Usa un navegador web con funcionalidad anti-phishing. El navegador web notificará cuando se pretende acceder a un sitio web falso. Usa la tecnología SSL para averiguar si la página es la que se desea visitar.  

Usa un producto anti-spyware y mantenlo actualizado. 

Usa un antivirus y mantenlo actualizado. Existen productos que bloquean estos mensajes, enviándolos a la bandeja de correos no deseados o no permitiendo que funcionen los enlaces que contienen.

 

Licencia Creative Commons
Esta obra está bajo una Licencia Creative Commons Atribución-Compartir Igual 3.0 Unported.


AUTOR

ROMULO LOMPARTE

Magister en Dirección de Negocios y Licenciado en Computación; Cuenta con certificaciones CGEIT®, CISA®, CISM®, CRISC™ de ISACA. Con más de 20 años de sólida y amplia experiencia en empresas nacionales e internacionales del ámbito comercial y financiero en funciones de auditoría, seguridad y desarrollo de proyectos de sistemas de información, líder natural para trabajo en equipo y bajo presión, sentido de responsabilidad y cumplimiento, con marcada aptitud para la organización, planificación, control de calidad y solución de problemas, creativo, detallista y con facilidad para aprender nuevos negocios. Vasta experiencia en uso de Cobit, ISO 27001 y procesos de certificación Sarbanes- Oxley. Con participación en ISACA International donde se desempeña como expositor e integrante de diversos comités especializados. Labora como Gerente Corporativo de Tecnología del Grupo EPENSA y consultor independiente en áreas de Gobierno de TI, Auditoría de Sistemas y Seguridad de Información.

PROGRAMAS DE CAPACITACIÓN