Phishing: cinco modos para impedirlo

Phishing: cinco modos para impedirlo

Es asombroso ver cómo un antiguo refrán conserva su sabiduría y su valor. “Más vale prevenir que curar”, es un lema que casa muy bien con la temática de la llamada Cybersecurity. Varias veces hemos reiterado en otros artículos que, cuando hablamos de Internet, web reputation o más en general del world wide web, nos referimos a un universo paralelo, donde cada uno tiene posibilidad de construir una auténtica segunda vida: nuevos trabajos, nuevas amistades, nuevos amores, nuevos modos de vivir, así como nuevos delitos y nuevos delincuentes. Hablamos no sólo de los peligrosos Deep o Dark web, sino también de las actividades ilegales a través de cuales, aprovechando la buena fe de las personas, los ciber-delincuentes consiguen entrar en posesión de datos e informaciones sensibles, que a menudo son compartidas espontáneamente por la propia víctima.

El phishing: la estafa informática preferida por los ciber-delincuentes

Un estudio estadístico realizado por Microsoft Security Intelligence ha demostrado que, en 2018, la modalidad de ataque informático denominado phishing fue la preferida por losciber-delincuentes. Aunque el estudioMSI ofrece solo los datos de 2018, estos hablan de un aumento del 250%de las estafas de phishing, y las previsiones para los años venideros no son nada positivas.

La estafa telemática del phishing, término que deriva de la palabra inglesa fishing -que significa pescar-, consiste en mensajes enviados por un ciber-delincuente bajo forma de spam: un mensaje publicitario no solicitado remitido a un número muy elevado de usuarios de Internet a través de un correo electrónico.

Haciéndose pasar por una fuente fiable, y utilizando sitios web y logotipos de empresas públicas o bancos privados, no usan, en cambio, sitios famosos de e-commerce, el ciber-delincuente lanza su “cebo” enviando mensajes aparentemente fiables a través de e-mail, Facebook, WhatsApp u otra plataforma de mensajería.

El formato es siempre el mismo: se pide al usuario inexperto que haga clic en un link, con la excusa de que debe actualizar con urgencia sus datos en esa plataforma. A continuación, si el usuario decide clicar, es dirigido a una página de un dominio dudoso que presentará un esquema de acceso con una petición manifiesta de sus datos como usuario, contraseña personal y/o códigos postales o bancarios.

La fuerza de estas fake email viene de la aparente, y urgente, necesidad de evitar que algo irremediablemente grave pueda afectar al usuario, presionando sobre sus miedos y su psicología. Podemos dar muchos ejemplos, en línea con las experiencias vividas por cada uno, al menos una vez en la vida. No faltan casos en los que, navegando sobre la propia home de Facebook, hemos tropezado con algún amigo real o virtual que "picó" en uno de los tantos mensajes fake, y, de repente, empezó a compartir post que dirigen a link externos no seguros. Caemos entonces en la cuenta de que el perfil de nuestro contacto ha sido infectado por un virus que, sin control, publica post, con el objetivo de obtener otros datos e infectar así otras personas en un círculo vicioso.

Cada vez que clicamos sobre un link no fiable, o compartimos voluntaria y libremente nuestros datos dentro de un format desconocido, podríamos ser víctimas de phishing. La peligrosidad de estestatus es que cualquier información, desde los datos bancarios al password personal, quizá el que utilizamos de modo habitual para acceder a nuestros perfiles o portales, podrá ser utilizada por el ciber-delincuente contra nosotros, también por medio de chantajes físicos o psicológicos, y exigiendo favores o dinero a cambio de la restitución del perfil.

Cinco modos para impedir el phishing

Una vez definidas las líneas y la peligrosidad de esta estafa telemática, podemos enumerar cinco modos de precaución para no engrosar la lista de víctimas del phishing.

Recordemos que el uso del sentido común está en la base de toda acción, pero, a mayor abundamiento, lo que hay que hacer es:

1. Antes de clicar sobre un link, comprobar que la dirección que se ha mostrado en el mensaje sea veraz y que, una vez clicado, nos conduce efectivamente hacia una dirección internet oficial del destinatario. Este control puede efectuarse simplemente pasando el ratón por encima del link;

2. Usar solo conexiones seguras, especialmente cuando se accede a páginas sensibles. Conectarte a la wifi por medio de conexiones desconocidas y, mucho menos, a wi-fi públicas, sin una contraseña de protección, podría dar una oportunidad a los ciber-delincuentes para dirigirnos con facilidad a las propias páginas de phishing;

3. Para navegar con mayor seguridad y tranquilidad, es aconsejable instalar y utilizar en nuestro dispositivo una VPN (Virtual Private Network), instrumento que permite cifrar el tráfico durante la conexión;

4. Controlar que la conexión sea Hypertext Transfer Protocol over Secure Socket Layer (HTTPS) y comprobar que el nombre del dominio refleje efectivamente la página. El protocolo https es una garantía de seguridad que todas las empresas/portales deben poseer obligatoriamente, especialmente en sitios que contienen informaciones sensibles, como páginas dispuestas para realizar operaciones bancarias online, tiendas online, redes sociales, etc;

5. Jamás de los jamases debemos compartir nuestros datos sensibles con terceros. Las empresas o quienes proporcionan servicios nunca piden información de este tipo a través de un email o por mensajería instantánea. En la duda, antes de hacer algo, basta con llamar al banco o al servicio de atención a clientes para preguntar si es verdad y qué conviene hacer en estos casos.

No siempre la cautela o seguir estos sencillos pasos garantiza que no caigamos, quizá inconscientemente, en un caso de Phishing. Entonces, lo primero es mantener la lucidez, llamar al gestor del propio sistema de pago, solicitar información y, bloquear cualquier documento y transacción no autorizada; posteriormente acudir a policía y presentar inmediatamente una denuncia.

La rapidez juega un papel fundamental en estas situaciones . Si nos damos cuenta de que hemos sido víctimas de esta estafa informática, no perdamos tiempo y tratemos de proteger los datos y el patrimonio antes de que sea demasiado tarde.