El phising es una técnica de ingeniería social utilizada por la delincuencia para obtener información confidencial, datos personales, nombres de usuario, contraseñas e información sobre las tarjetas de crédito o débito, se hacen pasar por una comunicación confiable y legítima.
El escenario de Phising también es conocido como suplantación de identidad, generalmente se asocia con la capacidad de duplicar un sitio web, hacen creer al visitante que se encuentra en la página web original, en lugar del falso. Este tipo de engaño suele llevarse a cabo mediante correo electrónico, los cuáles contienen enlaces a un sitio web falso con una apariencia idéntica a un sitio legítimo.
Cuando el usuario ingresa en el sitio falso, los usuarios son engañados para que ingresen sus datos confidenciales, lo que proporciona a los delincuentes un amplio margen para realizar estafas y fraudes con la información obtenida.
En la mayoría de los casos, el engaño se realiza a través del envío de SPAM (correo no deseado) e invitando al usuario a acceder a a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios. Este tipo de correos electrónicos llegan a la bandeja de entrada disfrazados como procedentes de departamentos de recursos humanos, servicio al cliente o de áreas comerciales relacionadas a transacciones financieras.
En la actualidad se han desarrollado otras formas de propagación como pueden ser los mensajes SMS a través del teléfono móvil o enlaces compartidos mediante las redes sociales, anteriormente utilizaban el fax. El tipo de información que contienen son premios y/o descuentos en la venta de algún producto.
El destinatario de los mensajes es genérico y los mensajes son enviados en forma masiva para alcanzar una alta cantidad de usuarios, con la esperanza de que un porcentaje, aunque sea mínimo, caerá en la trampa e ingresará al sitio falso donde se le robará la información.
A continuación te comparto algunas recomendaciones para evitar y prevenir este tipo de estafa:
- Evita el SPAM, es el principal medio de distribución de cualquier mensaje engañoso
- Rechace los archivos adjuntos y realice un análisis previamente antes de abrirlos
- No haga clic en enlaces que estén incluidos en mensajes recibidos por correo electrónico
- Ingrese manualmente a cualquier sitio web, es importante sobre todo en entidades financieras o donde se pide información confidencial como nombre de usuario, contraseña, número de tarjeta, PIN, por mencionar algunas.
- Debe estar consiente que su entidad, empresa u organización, jamás le solicitará datos confidenciales por ningún medio: telefónicamente, fax, correo electrónico o cualquier otro medio existente.
- Es importante volver a mencionar que en caso de recibir algún correo de este tipo lo ignore y/o elimine.
- Una de las formas en que se podría saber si está ingresando al sitio original, es que la dirección (URL) deberá de comenzar con https y no con http. Cuando se tiene una "S" final, nos da un alto nivel de confianza e indica que estamos navegando por una página web segura.
- Se recomienda verificar el certificado digital al que se accede haciendo doble clic sobre el candado que se encuentra a lado de la barra de navegación a lado de la dirección.
- Nunca respondas a solicitudes de información que lleguen por correo electrónico
- Las empresas reales tienen diversas formas de contactarnos, enviar mensajes por correo electrónico pocas veces será la prioridad por los problemas inherentes de seguridad
- Para verificar la legitimidad de un correo, llame por teléfono a la compañía responsable, nunca marque a los números que vienen incluidos en los mensajes sospechosamente recibidos.
- Un correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, no envíe contraseñas, números de tarjetas de crédito o débito u otro tipo de información confidencial, a través de este medio.
- Es recomendable examinar constantemente los movimientos que se hacen en sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
- Utilice antivirus y/o firewall. Estas aplicaciones o programas no se responsabilizan del problema pero pueden detectar correos con virus troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
- Denuncie las actividades o tipos de amenaza mencionadas anteriormente, todos los países tienen una institución enfocada a la seguridad o delitos informáticos.
Este tipo de delitos abundan a nivel global, lamentablemente la tasa de usuarios que son engañados siguen creciendo exponencialmente.