PHISHING

El término phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. El cibercriminal (phisher) se hace pasar por una persona o empresa de confianza mediante un correo electrónico, generalmente, o incluso llamadas telefónicas. Debido esta creciente actividad, se han realizado intentos de leyes que castigan esta práctica y campañas para prevenir a los usuarios.

Gráfica de las entidades más afectadas por el phishing.

• ORIGEN DEL TÉRMINO: el término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo". También se dice que este término es la contracción de password harvesting fishing (cosecha y pesca de contraseñas). 
• ¿QUÉ TIPO DE INFORMACIÓN ROBA?:

• ¿CÓMO SE PUEDE RECONOCER UN MENSAJE DE PHISHING?:

Distinguir un mensaje de phishing de otro legítimo puede no resultar fácil para un usuario que haya recibido un correo de tales características, especialmente cuando es cliente de la entidad financiera de la que supuestamente proviene el mensaje.

El campo "De:" muestra una dirección de la compañía en cuestión. No obstante, es sencillo para el estafador modificar la dirección de origen que se muestra. El mensaje suele presentar logotipos o imágenes que han sido recogidas del sitio web real al que el mensaje fraudulento hace referencia. 

• ¿CÓMO LO REALIZAN?: El phishing puede producirse de varias formas. A continuación voy a explicar las más comunes:
• SMS: la recepción de un mensaje donde le solicitan sus datos personales.
• Llamada telefónica: el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados.
• Página web o ventana emergente: es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc, pareciendo ser las oficiales. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales.
• Correo electrónico: el más usado y más conocido por los internautas. El procedimiento es la recepción de un correo donde simulan a la entidad u organismo que quieren suplantar para obtener datos del usuario. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, confirmación de su identidad o cualquier excusa para que usted facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales, etc, todo para que visualmente sea idéntica al sitio web original. También aprovechan las vulnerabilidades de navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al phisher, para que luego pueda utilizarlo de forma fraudulenta: suplantación de su identidad, robo de su dinero...

• DAÑOS CAUSADOS POR EL PHISHING: estos daños oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar su dinero o incluso impedirles acceder a sus propias cuentas.

Gráfico de sectores sobre el phishing en los bancos españoles.

• CONSEJOS PARA PROTEGERSE DEL PHISHING:

1. Nunca entregue sus datos por correo electrónico. Las empresas y bancos jamás le solicitarán sus datos financieros o de sus tarjetas de crédito por correo.
2. Si duda de la veracidad del correo, nunca haga click en un link incluido en el mismo.
3. Si aún desea ingresar, no haga click en el enlace. Escriba la dirección en la barra de su navegador.
4. Si aún duda de su veracidad, llame a su banco y verifique los hechos.
5. Si recibe un email de este tipo de phishing, ignórelo y jamás responda.
6. Compruebe que la página web en la que ha entrado es una dirección segura (debe empezar con https:// y un pequeño candado cerrado).
7. Asegúrese de escribir correctamente la dirección del sitio web que desea visitar ya que existen cientos de intentos de engaños de las páginas más populares con solo una o dos letras de diferencia.
8. Si sospecha que fue víctima del phishing, cambie inmediatamente sus contraseñas y póngase en contacto con la empresa o entidad financiera para informarles.

• EL PHISHING COMO DELITO: en general, diversos países se han ocupado de los temas del fraude y las estafas a través de Internet. Uno de ellos es el Convenio de Cibercriminalidad de Budapest pero, además, otros países, como Argentina o Estados Unidos, han dedicado esfuerzos legislativos para castigar estas acciones.

• ¿CÓMO SE DENUNCIA?: cuando usted sea víctima de este tipo de intento de estafa informe a las autoridades competentes. La Asociación de Internautas creó hace varios meses un conducto a través del cual los internautas puedan denunciar los correos que simulan ser entidades bancarias, web falsas o cualquier tipo de estafa por medio de phishing en Internet. Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el mail recibido o la web que intenta el robo de datos. Ellos lo denuncian a la empresa u organismo afectado y avisan a las fuerzas del Estado. El propósito de esta Asociación es evitar y erradicar los posibles intentos de estafas realizado mediante el phishing. Otro posible correo para denunciar estos abusos es fraude@cert.inteco.es, el cual ofrece información al usuario y le pone en contacto con el Cuerpo Nacional de Policía (Brigada de Investigación Tecnológica), la Guardia Civil...

Como conclusión, recordar que cada vez que recibamos un correo electrónico, una llamada, un SMS, etc, y nos pida información personal, debemos estar totalmente seguros de a quien se la damos. Tú podrías ser la próxima víctima del phishing, así que ¡mucho cuidado!