¿Qué es phishing informático y cómo prevenirlo?
La era digital ofrece muchas ventajas, pero también ha llevado a la creación de nuevas técnicas para robo de identidades y todo tipo de información digital. Este es el caso del phishing informático. Por ello es importante hacer caso a los consejos que los técnicos en microinformática ofrecen en las empresas en cuestiones de seguridad informática.
¿Qué es el phishing y cómo funciona?
El phishing es un método de engaño para que los usuarios compartan contraseñas, número de tarjetas de crédito o cualquier tipo de información confidencial. Lo común es que se hagan pasar por instituciones de confianza a través de mensajes de correo electrónico o llamadas telefónicas.
El phishing es un delito en el cual los usuarios quieren engañar a las personas para recibir su información confidencial.
Este tipo de técnica no requiere de grandes conocimientos informáticos, pero es muy peligroso y efectivo. Con el phishing no se pretende atacar redes informáticas o software como con otros delitos informáticos, si no que se juega con la mente humana.
¿Cuáles son los phishing más utilizados?
La táctica de phishing más común es cuando las víctimas reciben un correo electrónico o mensaje de texto que suplanta la identidad de una persona u organización de confianza para el usuario, como por ejemplo, un compañero o un banco. Este correo electrónico está pensado para asustar al usuario, suelen estar redactados para que la víctima actúe de manera inmediata porque si no tendrá consecuencias. Si el usuario cree que es real y accede al sitio web que le muestra el correo electrónico, descubrirá que esta nueva página es exactamente igual que la legítima, por ejemplo, si el correo electrónico lo recibe de un banco, el sitio web tendrá el mismo aspecto que al web de dicho banco. En este momento el usuario deberá iniciar sesión en su cuenta para realizar una determinada acción, aquí será cuando los atacantes recibirán toda la información de inicio de sesión y podrán robar la identidad de la víctima.
El spear phishing es otra técnica utilizada, aunque todas las campañas de phishing envían mensajes masivos al mayor número posible de personas, el spear phishing es un ataque dirigido a una persona u organización específica. En este tipo de técnica se utiliza contenido personalizado por lo que requiere de un reconocimiento previo de cierta información sobre la persona u organización. Para esta técnica se recopila la información suficiente para poder crear un correo electrónico creíble.
El phishing de clonación es otro tipo de phishing, en este caso se clonan correos electrónicos enviados anteriormente que contengan algún tipo de archivo adjunto o enlaces. El autor del phishing sustituye dichos adjuntos por contenido malicioso, de esta manera, la víctima encontrará un correo electrónico que parece ser el auténtico.
El phishing teléfono (vishing) o vía SMS (smishing) es un tipo de técnica malintencionada que a través de una llamada o SMS asustan al usuario insistiendo en que necesitan con urgencia una serie de datos personales para poder solucionar un determinado problema.
Ejemplos de phishing en informática
Un ejemplo de spear phishing es cuando un empleado que tiene la responsabilidad para autorizar pagos recibe un correo electrónico que aparenta proceder de algún alto cargo de la organización exigiendo un pago concreto a un proveedor, pero la realidad es que el enlace de pago lo envía al atacante).
Un ejemplo de phishing teléfono es cuando alguien haciéndose pasar por nuestro banco nos solicita información relativa a nuestro número de cuenta para poder solucionar un determinado problema que tenemos en ese momento.
¿Cómo prevenir el phishing?
Como hemos dicho, con este tipo de técnica no se buscan vulnerabilidades en la seguridad informática, por esta razón, ningún sistema operativo está libre del phishing. Esta técnica depende exclusivamente del usuario.
A la hora de detectar el phishing hay algunas técnicas que deberíamos tener en cuenta: