Segunda y última parte de la serie analizando las amenazas informáticas enfocadas contra las entidades financieras. En este artículo, hablaremos sobre el Phishing.

Distintos informes advierten sobre el crecimiento del Phishing, una modalidad de estafa que consiste en robar datos de los usuarios de Internet para su uso con fines criminales.
En este artículo Ignacio Sbampato, vicepresidente para Latinoamérica de ESET, explica qué es el Phishing y cómo reconocerlo. Y ofrece recomendaciones para no caer en la trampa.

Indudablemente el correo electrónico es uno de los medios de comunicación más utilizados en la actualidad. Sin embargo también es usado para otros fines, como el envío de gusanos, el Spam y el Phishing.

El Spam no es más que el envío de un mensaje masivo con fines netamente comerciales, y si bien es muy molesto para los usuarios de Internet, no tiene fines dañinos. Pero el Phishing sí los tiene.

Como se puede observar en las noticias -por ejemplo en el artículo “Phishing en alza”, de Andrew Lee, publicado recientemente-, esta amenaza está creciendo. Según Webopedia el termino Phishing comenzó a utilizarse en 1996 por hackers que robaban contraseñas de la compañía AOL. La expresión indica que los estafadores que están detrás del Phishing se encuentran “a la pesca” (fish, en inglés) de usuarios desprevenidos en el “mar” de Internet.

El hecho que el término comience con "Ph" en lugar de "F" (como debería ser en inglés), se atribuye a la tendencia de los hackers a reemplazar la F por Ph (como en el término Phreak).
Esta es sólo una de las explicaciones que circulan sobre el origen de la expresión: de acuerdo a Wikipedia en español, también se toma como la contracción de Password Harvesting Fishing (cosecha y pesca de contraseñas).

El Phishing consiste en un engaño conformado por dos elementos:

• Un mensaje de correo electrónico que simula provenir de una entidad reconocida.
• Una página de Internet con la misma estética de la entidad.
• Adicionalmente, también puede haber un tercer elemento: un troyano que se descarga desde la página en cuestión.

Los criminales responsables del Phishing crean un mensaje de correo electrónico con el mismo estilo que los de alguna entidad bancaria, financiera o sitio de Internet reconocido.
En el mensaje incluyen alguna dirección Web que, aprovechando distintos trucos, se lee idéntica a la verdadera, pero que al pulsar en el enlace lleva a una página ficticia.
Cuando el usuario visita la página, se encuentra con que tiene una estética idéntica, o muy similar, al sitio de Internet de la entidad real, lo cual completa el engaño.

En los mensajes relacionados con el Phishing, normalmente se le dice al usuario que debe renovar los datos asociados a su cuenta bancaria porque, por ejemplo, se perdieron por algún problema, y que es necesario que ingrese en el sitio, a través del enlace en el mensaje, para completarlos.

El usuario engañado seguirá el enlace hacia la página falseada, ingresará sus datos y de esta manera los criminales tendrán acceso a la información.
Utilizando estos datos los criminales podrán acceder a sus cuentas bancarias, tarjetas de crédito, etc., y hacer cualquier operación con ellas.

Actualmente los mensajes de Phishing afectan a grandes bancos y entidades internacionales (como el Citibank, VISA, Paypal), así como a instituciones locales, (como el banco CajaMadrid, de España, por nombrar uno de los ejemplos más recientes).

Muchos usuarios caen en estos engaños porque suponen que el mensaje de correo y el sitio de Internet realmente pertenecen a la entidad cuya imagen está siendo utilizada por los criminales.
¿Qué hay que hacer entonces para evitar ser víctima del Phishing?

Lo importante es no pulsar en los enlaces de los mensajes recibidos.
Los bancos y entidades financieras no tienen como política enviar mensajes de correo electrónico solicitando al cliente que reingrese los datos en la Web, por lo que si se recibe un mensaje como éste, es altamente probable que se trate de un engaño.

Si cree que el mensaje puede ser válido, no pulse en el enlace incluido.
En cambio abra su navegador e ingrese normalmente al sitio Web de su banco o de la entidad financiera nombrada.
De esa manera, evitará ser redireccionado a un sitio falso y podrá comprobar la veracidad de la información recibida.

Además de esta forma manual de evitar el Phishing, también es importante contar con una herramienta capaz de detectarlo en forma automática: un antivirus completo, por ejemplo, debe detectar este tipo de amenaza, dado que en muchos casos puede esconder un troyano.

NOD32 es capaz de detectar mensajes de Phishing y eliminarlos directamente antes que lleguen a la casilla del usuario.
De esta manera, además de la prevención manual, el usuario dispone de otra línea de defensa contra este tipo de estafas en línea.

Engaños de esta clase pueden ser evitados si, en lugar de tomar la ruta fácil (pulsar en el enlace), nos detenemos a pensar si lo que estamos recibiendo es veraz o no.
Como siempre, los criminales intentarán aprovechar todos los métodos posibles, y si no nos mantenemos alertas podemos convertirnos fácilmente en sus víctimas.

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=539
Adaptación: Ontinet.com, S.L.

Autor: Ignacio M. Sbampato

Ignacio M. Sbampato fue responsable de contenidos del sitio Virus Attack!, gerente general de la consultora X-NETWORK y colaborador en materia de seguridad antivirus de diversas publicaciones como USERS, ARROBA, DiarioRed.com, Kriptópolis y otros medios escritos y radiales. También ha brindado conferencias técnicas sobre seguridad informática y antivirus en Argentina, España y Panamá.
Actualmente es Vice-Presidente de ESET Latinoamérica teniendo a su cargo el desarrollo de negocios para la región.