Phishing es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de tales datos. El medio más utilizado actualmente por los atacantes para realizar una acometida de Phishing es el correo electrónico. Sus mensajes suelen ser muy convincentes, ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario con la cual éste opera habitualmente, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de Internet. En el mensaje se alegan motivos diversos, como problemas técnicos, actualización o revisión de los datos de una cuenta. A continuación, para –supuestamente- verificar o modificar sus datos personales, se le solicita que ingrese a un determinado sitio Web: su nombre completo, DNI, claves de acceso, etc. Dicha página Web es, en realidad, un sitio falsificado que simula ser el de la entidad en cuestión, pero como su diseño suele ser muy similar al de la organización de cuya identidad se han apropiado – a veces resulta prácticamente idéntico-, el usuario no puede percatarse del engaño. En otros casos, la artimaña se basa en el parecido entre las direcciones Web del sitio auténtico y el apócrifo. En muchas ocasiones incluso, el texto del enlace escrito en el correo electrónico se corresponde con la dirección real del sitio Web y si el usuario hace clic en dicho enlace, se lo redirige a una página falsa, controlada por los atacantes. Se han detectado también otros casos en los que el usuario recibe un mensaje SMS en su teléfono celular o una comunicación en su contestador automático y hasta una llamada telefónica. Mediante técnicas muy similares a las anteriormente descritas, se intenta convencerlo para que llame a determinado número telefónico. Al hacerlo, un sistema automatizado, fraguando ser la organización confiable, le solicita sus datos personales, los que luego serán utilizados sin su autorización, con las previsibles consecuencias gravosas.
Medidas de prevención para evitar ser víctima del Phishing
Las siguientes medidas intentan minimizar los efectos negativos de un ataque de Phishing y de ser posible, impedirlo.
* Si recibe un correo electrónico que le pide información personal o financiera, no responda. Si el mensaje lo invita a acceder a un sitio Web a través de un enlace incluido en su contenido, no lo haga. Debe saber que las organizaciones que trabajan seriamente ya están al tanto de este tipo de fraude y por consiguiente, no solicitan información por este medio. Tampoco contactan telefónicamente, ni a través de mensajes SMS o de fax. Al mismo tiempo, si le preocupa el estado de la cuenta que posee en la organización que dice haber enviado el correo o que lo ha contactado, comuníquese directamente con ella, recurriendo al número telefónico conocido y provisto por la entidad a través de medios confiables, como por ejemplo, su último resumen de cuenta. Otra alternativa consiste en entrar a la página oficial de la organización, ingresando usted mismo la dirección de Internet correspondiente en el navegador.
* No envíe información personal usando mensajes de correo electrónico. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial. Para mayor información sobre recomendaciones para el uso del correo electrónico seguro, puede consultar en http://www.arcert.gov.ar/webs/tips/
* No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio Web de una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso, destinados a capturar sus datos personales.
* Verifique los indicadores de seguridad del sitio Web en el cual ingresará información personal. Si resulta indispensable realizar un trámite o proveer información personal a una organización a través del sitio de Internet, escriba entonces la dirección Web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al hacerlo, deberá notar que la dirección Web comienza con https://, donde la s indica que la transmisión de información es segura. Verifique también que en la parte inferior de su navegador aparezca un candado cerrado. Al hacer clic sobre este último, podrá comprobar la validez del certificado digital y obtener información sobre la identidad del sitio al que está accediendo.
* Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto Antivirus, su cliente Web y de correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
* Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto como los reciba. Si detecta cargos u operaciones no autorizadas, comuníquese de inmediato con la organización emisora. También contáctese con ella si se produce una demora inusual en la recepción del resumen.
* No descargue ni abra archivos de fuentes no confiables. Esos archivos pueden tener virus o software malicioso que podrían permitir a un atacante acceder a su computadora y por lo tanto, a toda la información que almacene o introduzca en ella.
* Recuerde: No conteste ningún mensaje que resulte sospechoso. Si una comunicación en su contestador le avisa sobre un evento adverso vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga. Si recibe un correo electrónico que le pide lo mismo, desista. Si del mismo modo, le envían un SMS de bienvenida a un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son sino diversas modalidades que persiguen el mismo fin: obtener sus datos personales para cometer una defraudación.
* Finalmente, permanezca siempre atento para evitar el acceso indebido a su información personal. Observamos que, día a día, aparecen nuevas estrategias de engaño. Su desconfianza y el cuidado con que analice los sitios Web en los que vuelque sus datos de identidad, son su mejor protección.
Si detecta o sospecha que ha sido víctima de un ataque de “ Phishing”, reenvíenos el mensaje de correo electrónico y toda otra información que considere que puede ser de utilidad a: mailinfo@arcert.gov.ar Esta dirección de correo electrónico está protegida contra robots de spam. Necesitas activar JavaScript para poder verla . Con dicha información, ArCERT arbitrará todos los medios a su alcance para neutralizar el ataque y evitar que otras personas puedan también verse afectadas.