Seguridad informática

CUIDEMOS NUESTROS DATOS PERSONALES

¿Cómo cuidarnos del phishing?

¿Qué es el phishing o fishing? 

Es una modalidad de delito informático que consiste en capturar información personal de terceros para el usufructo propio.

Esta metodología se encuentra comprendida dentro de los ataques informáticos definidos como de “ingeniería social”.

Los afectados son usuarios de computadoras usualmente desinformados y/o desprevenidos que confiando en la buena fe de su interlocutor, suministran información personal pensando que están realizando una gestión con fines correctos.

La información capturada usualmente está relacionada con datos confidenciales del Usuario. Cuenta de e-mail, contraseñas, detalles de tarjetas de crédito, etc.

El daño puede ir desde simplemente quedarse con su cuenta de e-mail a efectos de conformar (por parte del atacante)  una base de datos para el envío de spam, hasta cruzar la información robada con otros datos personales del Usuario vulnerado (sacados de facebook.com por ejemplo) para intentar entrar a las cuentas de sitios web sociales, sistema bancario vinculados, etc.

Lamentablemente la conducta de algunos usuarios de repetir el uso de la misma password para sitios web de distinto nivel de importancia, es uno de las principales impactos que puede tener el robo de información.

¿Cómo se lleva a cabo un ataque denominado "phishing"?

El escenario de phishing generalmente está asociado con la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso.

El engaño suele llevarse a cabo a través de correo electrónico y a menudo estos correos contienen enlaces a un sitio web falso con una apariencia casi idéntica a un sitio legítimo.

Una vez en el sitio falso, los usuarios incautos son engañados para que ingresen sus datos confidenciales.

Con esta información los delincuentes proyectan la posterior acción delictiva (estafas, fraudes, etc).

La principal manera de llevar adelante el engaño es a través del envío de spam (correo no deseado) e invitando al usuario a acceder a la página señuelo.

A menudo, estos correos llegan a la bandeja de entrada disfrazados como procedentes de departamentos de RRHH o Tecnología, Comercios que conocemos o somos clientes, entidades financieras/bancarias, empresas que otorgan préstamos al consumo, etc.

Es bueno hacer notar que las Empresas poco pueden hacer para prevenir este tipo de ataques. Prácticamente todo el entorno delictivo se da por fuera de la infraestructura informática de las mismas.

Los e-mails viajan desde un sitio hackeado a una cuenta de e-mail del cliente hosteada en un servidor cualquiera.

El cliente es invitado a hacer un click sobre un link que lo lleva a otro sitio web que nada tiene que ver con la empresa que es mencionada.

Se ingresa información sobre un sitio web muy parecido al nuestro, pero totalmente ajeno al control de la empresa verdadera.

Capacitar y mantener informado a nuestros usuarios es el mejor método para poder tener navegación en internet lo más segura posible.

Las recomendaciones para evitar y prevenir el phishing:

1. Evite los correos electrónicos sospechosos:
1. Vienen de destinatarios desconocidos.
2. Invitan a hacer click sobre un link para una actividad que habitualmente resulta incoherente o poco probable de ser real.
3. Evite abrir archivos adjuntos que vengan en el e-mail si Ud no tiene realmente un interés previo identificado.
4. No hacer click sobre los link que trae el correo electrónico. Si Ud conoce la entidad a la cual se le está invitando ingresar, escriba Ud mismo la dirección ya conocida de antemano.
2. Sospeche de cualquier e-mail que le solicita o lo invita a cambiar o confirmar información personal:
1. Podrían llegar a venir de personas o empresas conocidas:
1. El delincuente puede perfectamente reemplazar los datos del remitente conocido haciéndose pasar por él.
2. Las entidades de gobierno, empresas consolidadas del mercado, organizaciones, etc., nunca le solicitarán datos confidenciales por medios de comunicación tipo correo electrónico.
3. Observe bien en la barra de navegación de su navegador cual es el  dominio web al cual Ud está conectado. Los sitios falsos habitualmente se arman sobre servidores y dominios totalmente distintos al que la empresa vinculante está asociada. Abitab S.A. dispone de su propio dominio “abitab.com.uy” y “abitabfamilia.com.uy”.
4. Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http. La S final, nos da un alto nivel de confianza que estamos navegando por una página web cuyo enlace es segura. De cualquier forma siempre controle el dominio (ejemplo de dominio: abitab.com.uy).
5. Si tiene dudas sobre la legitimidad de un correo, llame por teléfono a la compañía a un número que conozca de antemano. Nunca llame a los números que vienen en los mensajes recibidos.
6. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.
7. Resulta recomendable examinar los estados de cuenta de sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
8. Use antivirus y firewall en su PC personal.