Phishing, también conocido como suplantación de identidad, es un método para engañarte y lograr que compartas información confidencial y/o personal, como contraseñas, números de tarjeta de crédito, y cualquier otra información de la que un tercero pueda beneficiarse.
Esto lo intentan haciéndote creer que representan a una institución de confianza, a través de un correo electrónico, un mensaje sms, o incluso una llamada.
¿Por qué Phishing?
Como es imaginarse, el termino phishing está totalmente relacionado con la pesca, y aunque existe una táctica muy común, el perpetrador puede utilizar diferentes opciones como carnadas, para lograr que muerdas el anzuelo.
La táctica más común de Phishing
Seguramente alguna vez te ha llegado un correo electrónico que al parecer proviene de algún banco o institución reconocida, con un mensaje preocupante que indica que debes actuar de inmediato para no sufrir consecuencias.
Hasta ahí no pasa nada, pues suele ocurrir que ni cuenta tienes en dicha institución. Incluso si lo abres, todavía no hay peligro. Cuando realmente estás en riesgo, es en el momento que haces click en alguna liga o descargas algún archivo que aparezca en dicho correo, y en algunos casos, hasta que comienzas a teclear información.
¿Cómo obtienen mis datos?
Si por alguna razón caes en la trampa y haces click en alguna liga, dicho enlace te enviará a una página que en verdad parece real, pues es una copia visualmente idéntica de la original. Una vez ahí, se te pedirá que ingreses tus datos, incluyendo tu contraseña, mismos que llegarán directamente al autor de este fraude, usándolos de inmediato para beneficio personal, o vendiéndolos al mercado negro.
¿Cómo me puedo dar cuenta de que se trata de phishing?
- Reconoces al remitente, pero es extraño que te escriba, o los correos copiados son de personas que no conoces o con lo que no tienes relación.
- El mensaje suena aterrador, y te incita a actuar de inmediato, con mensajes como: “haga clic y actúe ahora antes de pierda más dinero”.
- El mensaje contiene archivos adjuntos inesperados o inusuales. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza en línea.
- El mensaje contiene enlaces que parecen un poco extraños. Incluso si no siente un hormigueo por ninguno de los puntos anteriores, no asuma que los hiperenlaces incluidos llevan a donde parece. En su lugar, pase el cursor por encima del enlace para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado.
¿Qué puedo hacer para evitarlo?
Lo primero es tener en cuenta que las instituciones responsables no solicitan detalles personales a través de Internet, pues primero deben de comprobar que la persona que lo hace sea legítima.
Además de esto, es muy importante revisar las terminaciones de las cuentas de correo electrónico, o el dominio(url) donde supuestamente debemos teclear la información, pues muchas veces es con esto que logran confundirnos, colocando el nombre de la institución en alguna parte del correo o dominio.
Ejemplo: www.banamex.oficinab.com donde en realidad el dominio aquí es www.oficinab.com, y la palabra banamex es un subdominio (cualquiera puede crear un subdominio).
Recomendaciones
Habla directamente con la persona o institución que supuestamente envió el correo o mensaje, con la finalidad de confirmarlo.
Capacita a tu personal que identifique y evite este tipo de prácticas, así como concientizarlos acerca de sus consecuencias.
Contrata un servicio de antivirus administrado, que te ayude a detectar y disminuir los ataques.
¿Qué hago si detecto que fui victima de Phishing?
- Habla a la institución para informar de lo acontecido.
- Cambia tu contraseña ahí y en cualquier otra página donde la utilices.
- Informa a familiares y amigos, por si esta persona se hace pasar por ti.