Tecnología

Que no lo pesquen en la web

Cibercriminales usan el phishing para robar información de internautas.

Por Alfredo Vicente

Ejemplo de sitio web falso que pretende hacerse pasar por Gmail. Las extrañas letras que aparecen en el URL no son habituales, lo cual debe ser motivo de desconfianza (Foto: spamloco.net).
Ejemplo de sitio web falso que pretende hacerse pasar por Gmail. Las extrañas letras que aparecen en el URL no son habituales, lo cual debe ser motivo de desconfianza (Foto: spamloco.net).

Una mañana, Juan recibe un correo que dice ser de su banco para pedirle que ingrese al portal de la entidad y actualice sus datos. El joven, algo extrañado, accede.

Mientras tanto, Lucía busca la nueva versión de Angry Birds para descargar a su smartphone pero no la encuentra; sin embargo, descubre un juego con un nombre similar, y lo descarga. Esta aplicación le pide datos personales y ella da esa información.

Juan y Lucía acaban de ser víctimas de phishing, una actividad cibercriminal que consiste en suplantar la identidad de una persona o entidad, una web o app, para robarle información a los usuarios. Muchas veces, el phishing va dirigido a extraer datos de tarjetas de crédito.

El nombre se deriva de fishing —pescar—, debido a que estos delincuentes operan con una “carnada” virtual para engañar a los usuarios.

“Para efectuar el engaño, el estafador finge ser una persona o empresa conocida, y contacta a la posible víctima por medio de comunicación aparentemente oficial, a través de correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas”, explica Miguel Ángel Mendoza, especialista en seguridad informática de ESET Latinoamérica.

¡Cuidado!

En la actualidad hay varios tipos de phishing, que van desde la promoción de productos a precios “increíblemente bajos”, hasta los de tipo “trabaje desde casa”. Todos con el mismo fin: robarle datos personales a la víctima, entre estos los números de su tarjeta de crédito.

En algunos casos, el objetivo es utilizar esa información para chantajear a la persona o institución.

“Los mensajes suplantadores utilizan argumentos ingeniosos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos”, cita la Oficina de Seguridad del Internauta. Identificar este tipo de engaños es fácil, ya que para empezar, las entidades serias no envían correos electrónicos para pedirle datos a los usuarios.

Otro tipo de mensajes de phishing son los que, además de estar mal escritos, incluyen al final un hipervínculo. Esto también sucede en redes sociales o mensajes de texto, por lo que los expertos recomiendan borrarlos y nunca ingresar a esos enlaces.

El usuario también debe verificar la legitimidad del sitio web. “Hay que fijarse siempre en la URL —dirección— para asegurarse que está en la página web oficial y no se trata de una que la está suplantando”, indica la OSI. Por ejemplo, si la URL de la empresa es www.almacenperez.com, hay que desconfiar de una que se llame www.almacennperez.com —nótese la “n” extra—.

Después del “ataque”

¿Qué hacer si ya fue víctima del phishing? Los expertos de tecnología de USA Today recomiendan tres cosas: instalar o actualizar el antivirus para detectar y borrar el software malicioso. Luego, alertar a los bancos e instituciones de cuyos datos dio información, así como cambiar contraseñas. Además, debe reportarse el sitio falso.

Cómo evitarlo

  • Útiles consejos de los expertos en seguridad informática.
  • Primero, desconfiar de todo mensaje —correo, SMS, app, redes sociales, etc.— que solicite información personal o refiera un enlace para ofrecer datos. Nunca se deben responder. En caso de duda, consultar directamente a la empresa.
  • Estos mensajes  deben eliminarse.
  • Reportar el sitio o mensaje en webs como https:// www. google.com/safebrowsing/report_phish. Si esto fue a través de una red social, denunciar el mensaje o al usuario.
  • Protegerse del phishing
  • con filtros antispam en los correos. También hay apps
  • y herramientas  para bloquear sitios web sospechosos de phishing desde el
  • navegador.
  • Usar un  sistema antiphishing como Kaspersky o ESET,  y tenerlo actualizado.

Caso PRENSA LIBRE

Similar al phishing

El pasado 17 de julio, lectores de Prensa Libre empezaron a notificar que surgió una web haciéndose pasar por este matutino, con la dirección www.prensallibre.com —con una “l” adicional—.  

Los usuarios y lectores del diario reportaron este acto ilegal, y días después esa web falsa dejó de funcionar.

Aunque no fue directamente un caso de phishing, ya que se trató de una clonación, los impostores usaron métodos  similares.