Por
Mario Ramón Duarte
El término inglés phishing es un
método que los ciberdelincuentes utilizan para engañar y conseguir que el
usuario revele información personal, como contraseñas o datos de tarjetas de
crédito y de la seguridad social y números de cuentas bancarias. Lo hacen
mediante el envío de correos electrónicos fraudulentos o dirigiéndole a un
sitio web falso.
Phishing, conocido
como suplantación de identidad, es un término
informático que denomina un modelo de abuso informático y que
se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir
información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada
sobre tarjetas de
crédito u otra información bancaria). El cibercriminal,
conocido como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial electrónica, por lo común
un correo
electrónico, o algún sistema de mensajería
instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de
denuncias de incidentes relacionados con el phishing o pharming, se requieren métodos
adicionales de protección. Se han realizado intentos con leyes que castigan la
práctica y campañas para prevenir a los usuarios con la aplicación de medidas
técnicas a los programas. Se considera pishing también, la lectura por parte de
terceras personas, de las letras y números que se marcan en el teclado de
un ordenador o computadora.
Los mensajes de phishing parecen
provenir de organizaciones legítimas como PayPal, UPS, una agencia
gubernamental o su banco. Sin embargo, en realidad se trata de imitaciones. Los
correos electrónicos solicitan amablemente que actualice, valide o confirme la
información de una cuenta, sugiriendo a menudo que hay un problema. Entonces se
le redirige a una página web falsa y se le embaucada para que facilite información
sobre su cuenta, lo que puede provocar el robo de su identidad.
Es preciso tener en cuenta los
diversos datos, uno de ellos es cómo reconocer, eliminar, evitar y protegerse
del phishing: en el primer caso es preciso recibir mensajes pidiendo que revele
información personal, normalmente mediante correo electrónico o en un sitio
web, en cuanto a la eliminación, si bien no se los pueden eliminar si se los
pueden detectar, además se necesita monitorizar su sitio web y estar al
corriente de lo que debería y de lo que no debería estar allí, en lo posible
cambiar los archivos principales de los sitios web periódicamente.
Al momento de evitar los phishing
hay que tener en cuenta los siguientes consejos:
§ Mantenga buenos hábitos y no
responda a enlaces en correos electrónicos no solicitados o en Facebook.
§ No abra adjuntos de correos
electrónicos no solicitados.
§ Proteja sus contraseñas y no las
revele a nadie.
§ No proporcione información
confidencial a nadie por teléfono, en persona o a través del correo
electrónico.
§ Compruebe la URL del sitio (dirección
web). En muchos casos de phishing, la dirección web puede parecer legítima,
pero la URL puede estar mal escrita o el dominio puede ser diferente (.com
cuando debería ser .gov).
§ Mantenga actualizado su navegador
y aplique los parches de seguridad.
En cuanto a la protección de éstos no hay una forma
mejor de reconocer, eliminar y evitar el phishing que utilizar una herramienta
de antivirus y antiphishing, y la mejor de ellas es Avast.
El smishing es
otra variante de engaño que se basa en el envío de mensajes de textos para
obtener información confidencial. El vishing sigue la misma lógica pero el
medio empleado es un llamado telefónico.
En Latinoamérica este método es uno de los más
usuales al momento de realizar ciberataques, el mecanismo preferido de los
ciberdelincuentes es el phishing (técnica que se utiliza para engañar a
usuarios, persuadiéndoles a revelar información o a realizar acciones que ponen
en riesgo la seguridad del dispositivo o divulgar información confidencial de
la empresa). El correo electrónico es el medio en donde se manejan con
facilidad, también se puede encontrar en los numerosos links a través de redes
sociales e incluso llamadas telefónicas o mensajes por WhatsApp, incitándonos a
ingresar a un sitio web, siempre prometiendo algún beneficio que
lamentablemente sólo es un engaño.
Dentro de la lista de víctimas de phishing en
América Latina, el primer lugar lo ocupa Brasil con 23,3% de los ataques, le
sigue Venezuela con 17% y Argentina en tercer lugar con el 16,4%. Según Fabián
Assolini, analista de seguridad en Kaspersky Lab, el período preferido por los
ciberdelincuentes para realizar este tipo de ataques es el Black Friday ya
que en la edición del año 2017 han bloqueado más de 380.000 intentos de ataque
que es casi 4 veces mayor al de un día normal. También nos indica que “para
tener una idea, solamente este año han bloqueado 40 millones de ataques en
América Latina, siendo Brasil el país más afectado”. Para tener muy en cuenta,
solamente 3 de cada 10 personas conectadas a internet o a través de un
dispositivo móvil o computadora, no son víctimas de ataques.
El delito de phishing se encuentra en constante
evolución llegando a alcanzar en la actualidad una gran sofisticación respecto
a sus inicios, tanto en el método de captación de los intermediarios o muleros,
como en los ámbitos en los que operan, ya que, si bien las ofertas de empleo
eran el método más utilizado por los estafadores para captar a sus víctimas,
ahora se producen también en las compraventas a través de la red.
Fuentes consultadas
Glosario y abreviaturas del centro de criptología
nacional de España (2015)
Diccionario amenazas cibernéticas
Sophos (2013)
Phishing, Albeiro Patiño Builes
(2010)
Phishing
Dark Waters: The Offensive and Defensive Si, Christopher Hagdany, Michele
Fincher, Foreword By Robin Dreeke. (2018)
Www.avast.com (2018)
Www.perfil.com (2018)
Dr. Mario Ramón Duarte
Abogado
Juez de Faltas – Corrientes –
Argentina
Especialista en Derecho Municipal
de Faltas y Contravencional.
Secretario General CEEYPP
(ARG-MEX).
Integrante Equipo Dossier
Geopolítico/Cees. (ARG).
Experto en Ciberseguridad y
Ciberdefensa.