El phishing es, según la compañía de software Microsoft, una “técnica de captación ilícita de datos personales (principalmente relacionados con claves para el acceso a servicios bancarios y financieros) a través de correos electrónicos o páginas webs que imitan o copian la imagen o apariencia de una entidad bancaria o financiera o cualquier otro tipo de empresa de reconocido prestigio”. Sus ataques causaron en México en el mencionado periodo pérdidas de más de 1.500 millones de dólares.
Modalidades de phishing
Este fraude electrónico puede darse en diversas formas. La más común es incluir en el e-mail un link a una página legítima para, posteriormente, redireccionar al usuario a la maliciosa. De este modo, los cibercriminales consiguen que el correo electrónico no sea bloqueado por los filtros de seguridad al mostrar una página web que realmente está limpia.
Otra modalidad es el denominado secuestro de la URL, mediante la cual engañan al internauta haciéndole creer que está visitando la página legítima, cuando, de hecho, es un “gemelo malvado”, sostienen desde RSA, división de seguridad de EMC. ¿Cómo logran que el usuario no se dé cuenta? Muy fácil: se trata de registrar un sitio web cuyo dominio sea muy similar al de la auténtica. Para ello, utilizan sencillas tácticas como intercambiar letras visualmente parecidas.
RSA, igualmente, ha indicado que los viernes son los días preferidos por los delincuentes cibernéticos para enviar sus correos fraudulentos, ya que al ser final de la semana, los empleados cuentan con menos carga de trabajo y, por ende, con más tiempo para navegar por Internet. Así, hay mayores probabilidades de que hagan click en algún enlace recibido ese día.
Cómo no caer en la trampa del phishing
El fraude del robo de identidad surgió aproximadamente hace 16 años con un claro objetivo: sonsacar información confidencial al usuario por medio de la persuasión y del engaño. Incluso el más pequeño ataque puede suponer un gran problema para un negocio, usualmente más preocupado por incrementar sus ingresos adaptando sus servicios al entorno online que por implantar herramientas que protejan sus datos.
Desde Microsoft recomiendan unas pautas de actuación para prevenir estas prácticas fraudulentas que pueden ocasionar mucho daño a las pymes.
Desconfiar de cualquier correo electrónico sospechoso que incluya alguna información de carácter urgente es un primer paso para no dejarse llevar por la curiosidad y hacer click en los enlaces. Advertencias como “si no realiza la confirmación de su cuenta bancaria en el plazo de... se procederá a la cancelación de la misma” deben ponernos en alerta. Del mismo modo, es recomendable desconfiar de aquellos e-mails que solicitan datos como contraseña, número de la tarjeta de crédito, etc.
Una señal casi inequívoca de que nos encontramos ante un correo de phishing es que no esté personalizado, lo que significa que estos están enviados en masa. De modo que, si sospecha, no rellene ningún formulario, dé click en enlaces adjuntos o facilite cualquier tipo de información financiera.
Finalmente, dos recomendaciones para no ser blanco de estos ciberdelincuentes: asegúrese de tener el navegador actualizado en materia de seguridad y compruebe periódicamente que sus cuentas bancarias no registren movimientos extraños.