Seguridad Informática en la Empresa

Teoría y Práctica de Seguridad para Empleados y Gerentes no Técnicos

Timos de "phishing"

El phishing (palabra que viene del inglés fish o pescar como en "pescar a un tonto") hace referencia a estrategias de criminales por Internet en las que haciéndose pasar por instituciones reputables engañan a víctimas de forma que éstas revelen información personal o confidencial (como sus nombres de usuario y contraseñas y relacionado por tanto con el robo de identidad). El objetivo del fraude es acceder a servicios que reporten beneficios económicos como bancos, cuentas de correos o cuentas de sitios sociales.

Típicamente los intentos de phishing vienen por correo electrónico e intentan atraer a las víctimas hacia páginas web falsas que imitan a las auténticas.

En el caso de cuentas de email o de sitios sociales como Facebook el beneficio para el criminal es usarlas para mandar mensajes de spam, para atraer tráfico a una página web o para capturar nuevas víctimas.

Ejemplos de correos electrónicos con gran probabilidad de ser un timo de tipo phishing son mensajes pidiendo información de cuentas de bancos o sitios web famosos como Ebay o PayPal; un sitio web financiero o medianamente importante nunca le va a pedir su información secreta (como contraseñas) y tampoco le va a pedir dirigirse a una página para verificar sus datos o contraseña.

Estas son algunas frases en un email que indican una actividad de phishing:

  • "Verifica tu cuenta", mencionando que hay un problema para darle mayor credibilidad.
  • "Cancelaremos su cuenta si no actúa en 24 horas", u otros apremios y supuestas razones para actuar.
  • "Ha ganado un premio" o "ha ganado la lotería" o "ha sido seleccionado" o similares también son indicativos de phishing u otros timos.
  • Frases en las que le acusan de un delito (por ejemplo de piratería de música o películas) y le ofrecen una amnistía o cancelar la deuda a cambio de un pago.

No haga clic en un email o página web para ir a un sitio web crítico como su banco o institución financiera; escriba directamente la dirección en la barra de dirección de su navegador o guárdela como "favorita".

Si tiene dudas sobre si un email que recibe es legítimo o no, contacte directamente por teléfono o por email con la organización que se supone envió el mensaje de correo. No responda al mensaje sospechoso, sino que verifique independientemente el número de teléfono o dirección de correo de servicio al cliente de la organización.

A medida que los usuarios se van familiarizando con estos engaños los timadores se van volviendo cada vez más sofisticados y los mensajes que mandan están más dirigidos y son más específicos a una persona o grupo de personas para darles mayo credibilidad. A este tipo de phishing se le llama "spear phishing".

Por ejemplo si los timadores se hacen con una lista de correo de un club o asociación o de una ciudad o región determinada (por ejemplo a través de una página web social) entonces pueden mandar un email a los miembros del grupo con un mensaje relacionado con el tema del que trata el grupo.

Si recibe un mensaje que sospecha es un timo de phishing bórrelo inmediatamente. No conteste al email y no haga clic en ninguno de sus enlaces.

Tenga en cuenta que estos timos no están limitados a Internet sino que también se hacen por teléfono. Por ejemplo haciéndose pasar por una obra de caridad famosa o comunicándole que ha recibido un premio buscan una excusa para que les dé su número de tarjeta de crédito u otra información personal que pueden usar para el beneficio económico de los criminales.

Use el sentido común para protegerse de timos. Esté alerta y sea muy escéptico de fantásticas ofertas o sistemas para ganar dinero rápidamente o desde casa que reciba por correos electrónicos; recuerde que si parece demasiado bueno para ser verdad seguramente lo sea.


Si le fué útil éste artículo considere comprar el libro "Seguridad Informática en la Empresa"