Vitaliano Chiarella
Es asombroso ver cómo un antiguo refrán conserva su sabiduría y su valor.
“Más vale prevenir que curar”, es un lema que casa muy bien con la temática
de la llamada Cybersecurity. Varias veces hemos reiterado en otros
artículos que, cuando hablamos de Internet, web reputation o más
en general del world wide web, nos referimos a un universo paralelo, donde cada uno tiene posibilidad de
construir una auténtica segunda vida: nuevos trabajos,
nuevas amistades, nuevos amores, nuevos modos de vivir, así como nuevos
delitos y nuevos delincuentes. Hablamos no sólo de los peligrosos Deep o Dark web, sino también de las actividades ilegales
a través de cuales, aprovechando la buena fe de las personas, los ciber-delincuentes consiguen entrar en posesión de datos e
informaciones sensibles, que a menudo son compartidas espontáneamente por
la propia víctima.
El phishing: la estafa informática preferida por los
ciber-delincuentes
Un estudio estadístico realizado por Microsoft Security Intelligence
ha demostrado que, en 2018, la modalidad de ataque informático denominado phishing fue la preferida por losciber-delincuentes. Aunque el estudioMSI ofrece solo los datos de 2018, estos hablan de un aumento del 250%de las estafas de phishing, y las
previsiones para los años venideros no son nada positivas.
La estafa telemática del phishing, término que deriva de la
palabra inglesa fishing -que significa pescar-, consiste en
mensajes enviados por un ciber-delincuente bajo forma de spam: un
mensaje publicitario no solicitado remitido a un número muy elevado de
usuarios de Internet a través de un correo electrónico.
Haciéndose pasar por una fuente fiable, y utilizando sitios web y logotipos
de empresas públicas o bancos privados, no usan, en cambio, sitios famosos
de e-commerce, el ciber-delincuente lanza su “cebo” enviando mensajes
aparentemente fiables a través de e-mail, Facebook, WhatsApp u otra
plataforma de mensajería.
El formato es siempre el mismo: se pide al usuario inexperto que
haga clic en un link, con la excusa de que debe actualizar con urgencia sus
datos en esa plataforma. A continuación, si el usuario decide clicar, es
dirigido a una página de un dominio dudoso que presentará un esquema de
acceso con una petición manifiesta de sus datos como usuario, contraseña
personal y/o códigos postales o bancarios.
La fuerza de estas fake email viene de la
aparente, y urgente, necesidad de evitar que algo irremediablemente grave
pueda afectar al usuario, presionando sobre sus miedos y su psicología.
Podemos dar muchos ejemplos, en línea con las experiencias vividas por cada
uno, al menos una vez en la vida. No faltan casos en los que, navegando
sobre la propia home de Facebook, hemos tropezado con algún amigo real o virtual que «picó» en uno de los tantos
mensajes fake, y, de repente, empezó a compartir post que
dirigen a link externos no seguros. Caemos entonces en la cuenta
de que el perfil de nuestro contacto ha sido infectado por un virus que, sin control, publica post, con el
objetivo de obtener otros datos e infectar así otras personas en un círculo
vicioso.
Cada vez que clicamos sobre un link no fiable, o compartimos voluntaria y
libremente nuestros datos dentro de un format desconocido,
podríamos ser víctimas de phishing. La peligrosidad de estestatus es que cualquier información, desde los datos bancarios al password personal, quizá el que utilizamos de modo habitual para
acceder a nuestros perfiles o portales, podrá ser utilizada por el
ciber-delincuente contra nosotros, también por medio de chantajes físicos o
psicológicos, y exigiendo favores o dinero a cambio de la restitución del
perfil.
Cinco modos para impedir el phishing
Una vez definidas las líneas y la peligrosidad de esta estafa telemática,
podemos enumerar cinco modos de precaución para no engrosar la lista de
víctimas del phishing.
Recordemos que el uso del sentido común
está en la base de toda acción, pero, a mayor abundamiento, lo que hay que
hacer es:
1. Antes de clicar sobre un link, comprobar que la dirección que se ha
mostrado en el mensaje sea veraz y que, una vez clicado, nos conduce
efectivamente hacia una dirección internet oficial del destinatario.
Este control puede efectuarse simplemente pasando el ratón por encima
del link;
2. Usar solo conexiones seguras, especialmente cuando se accede a páginas
sensibles. Conectarte a la wifi por medio de conexiones desconocidas y,
mucho menos, a wi-fi públicas, sin una contraseña de protección, podría dar
una oportunidad a los ciber-delincuentes para dirigirnos con facilidad a
las propias páginas de phishing;
3. Para navegar con mayor seguridad y tranquilidad, es aconsejable instalar
y utilizar en nuestro dispositivo una VPN
(Virtual Private Network), instrumento que permite cifrar el tráfico
durante la conexión;
4. Controlar que la conexión sea
Hypertext Transfer Protocol over Secure Socket Layer (HTTPS)
y comprobar que el nombre del dominio refleje efectivamente la página. El
protocolo https es una garantía de seguridad que todas las
empresas/portales deben poseer obligatoriamente, especialmente en sitios
que contienen informaciones sensibles, como páginas dispuestas para
realizar operaciones bancarias online, tiendas online,
redes sociales, etc;
5. Jamás de los jamases debemos compartir nuestros datos
sensibles con terceros. Las empresas o quienes proporcionan servicios nunca
piden información de este tipo a través de un email o por mensajería
instantánea. En la duda, antes de hacer algo, basta con llamar al banco o
al servicio de atención a clientes para preguntar si es verdad y qué
conviene hacer en estos casos.
No siempre la cautela o seguir estos sencillos pasos garantiza que no
caigamos, quizá inconscientemente, en un caso de Phishing.
Entonces, lo primero es mantener la lucidez, llamar al gestor del propio
sistema de pago, solicitar información y, bloquear cualquier documento y
transacción no autorizada; posteriormente acudir a policía y presentar
inmediatamente una denuncia.
La rapidez juega un papel fundamental en estas situaciones
. Si nos damos cuenta de que hemos sido víctimas de esta estafa
informática, no perdamos tiempo y tratemos de proteger los datos y el
patrimonio antes de que sea demasiado tarde.
