El phishing -pronunciado como inglés "fishing", que significa pescar- es precisamente eso: la pesca de información practicada por artistas del fraude. En términos informáticos, los ataques de phishing suelen empezar con un mensaje de correo electrónico falseado, que en apariencia procede de una empresa conocida y fiable, con la que posiblemente usted ya mantenga relación. En el mensaje se le explica que hay un problema con su cuenta, un posible uso fraudulento o gastos, o simplemente se le pide que verifique sus datos para protegerle. éste es un buen ejemplo de ingeniería social: el artista del fraude le ofrece su protección.
Un típico ejemplo de intento de phishing es el engaño de PayPal:
Estimado cliente de PayPal:
Estamos llevando a cabo el mantenimiento periódico de nuestras medidas de seguridad. Su cuenta ha sido seleccionada al azar para este mantenimiento, por lo que a continuación deberá seguir diversos pasos para verificar su identidad.
Nuestro objetivo principal es preservar la seguridad de su cuenta de PayPal y lamentamos cualquier molestia que esto pueda causarle. Le rogamos que se acredite como titular de la cuenta introduciendo la información requerida en los apartados siguientes.
Visite https://www.paypal.com/cgi-bin/webscr?cmd=_login-run y dedique unos momentos a confirmar su cuenta. Para evitar la interrupción del servicio, debe confirmar su cuenta lo antes posible. Su cuenta se actualizará en nuestro sistema y podrá seguir utilizando los servicios de PayPal sin interrupciones.
Si no actualiza su cuenta, quedará restringida.
Atentamente,
El personal de PayPal
Gracias por usar PayPal.
-------------------------------------------------------
PROTEJA SU CONTRASEñA
NUNCA revele su contraseña a nadie y regístrese SOLO en https://www.paypal.com/cgi-bin/webscr?cmd=_login-run. Protéjase contra los sitios Web fraudulentos verificando la URL/dirección cada vez que acceda a PayPal.
Si ha comprado algo en una subasta por Internet, seguro que conoce PayPal. PayPal es el servicio online más utilizado para pagar artículos adquiridos en sitios como eBay. Aunque técnicamente no es un banco, PayPal funciona de forma muy parecida y facilita la transferencia de dinero a otros usuarios de PayPal con sólo enviar un mensaje por correo electrónico. Estos tipos de transferencias son posibles porque cuando usted (o sus padres) configuran la cuenta de PayPal, la vinculan a una cuenta bancaria real o a una tarjeta de crédito.
Los compradores online utilizan PayPal porque se sienten más seguros que dando sus números de tarjeta de crédito a personas desconocidas. Así pues, ¿dónde está el problema? En los últimos años, Paypal se ha convertido en un importante blanco para los hackers y practicantes de phishing (los "phishers"). Y no es la única víctima. Aunque hemos hablado de los ataques de denegación de servicio (DoS) y de los gusanos que se infiltran en los sitios comerciales, el problema más grave que afrontan los grandes sitios online (PayPal, eBay, Amazon, etc.) en los últimos años no es la seguridad de sus sitios. El problema principal radica en los phishers que estafan con los datos financieros de sus clientes.
Si ha utilizado PayPal para comprar en una subasta, probablemente ya haya recibido este intento de estafa. Es posible que también lo haya recibido aunque no tenga cuenta en PayPal. El motivo es que los phishers se parecen mucho a los creadores de spam. Les interesa la cantidad, no la calidad. Como PayPal tiene más de 78 millones de usuarios en 56 países, es muy probable que un gran porcentaje de los mensajes de correo electrónico diseminados por los phishers lleguen a verdaderos clientes de PayPal. ¿Se van a molestar en comprobarlo? No. Esto también puede explicar por qué hay padres que reciben solicitudes para "actualizar información" de tarjetas de crédito que no poseen. Como los creadores de spam, los phishers sólo juegan con los números. Por pocos que sean los consumidores que piquen, tienen suficiente.
En nuestro ejemplo del falso mensaje de PayPal se pide que visite una página Web concreta: https://www.paypal.com/cgi-bin/webscr?cmd=_login-run. Este es un elemento habitual en todos los intentos de phishing: el enlace incrustado. En algún momento, en todos los mensajes de phishing se pide que se haga clic en el enlace suministrado para acceder a la cuenta y actualizar o verificar la información de la cuenta. Naturalmente, el problema es que en realidad el enlace no le lleva a su verdadera cuenta, sino a una pantalla falsificada (muchas veces a varias) con el mismo aspecto que la de la empresa verdadera.
Si sigue el enlace, todo lo que escriba a partir de ese momento se enviará directamente al timador responsable del intento de phishing. Si introduce un nombre de usuario y una contraseña, le dará todo lo que necesita para suplantarle en ese sitio. Cuando el objetivo del phishing es una cuenta bancaria o similar (como PayPal), el delincuente obtiene toda la información que necesita para vaciar literalmente sus cuentas. Si introduce los datos de la tarjeta de crédito, no le quepa duda de que pronto recibirá cargos inesperados. Puede incluso que suministre toda la información que el delincuente necesita para usurpar su identidad. En tal caso, esos cargos en sus cuentas quizá sean la menor de sus preocupaciones. Un ladrón avezado podría crear innumerables tarjetas de débito NUEVAS a su nombre, inundando su historial financiero de facturas impagadas, con todas las consecuencias que ello puede acarrearle en el futuro.
Tenga en cuenta que el correo electrónico no es el único método de phishing. Los timos básicos de phishing son muy anteriores a la era informática. La gran diferencia radica en que los ordenadores permiten al timador ocultarse con más facilidad. Como los mensajes de correo electrónico suelen crearse con direcciones falsificadas e información de enrutamiento falsa, son difíciles de rastrear.
Este artículo es un extracto del nuevo libro de Linda McCarthy, titulado "Own Your Space: Keep Yourself and Your Stuff Safe Online". Para adquirir este libro, haga clic aquí
